개인정보보호가이드라인 행정자치부 고용노동부
목 차 Ⅰ. 가이드라인개요 1 - 발간배경, 목적, 구성, 활용및저작권 Ⅱ. 근로자등개인정보처리기본원칙 4 - 개인정보개념, 보호원칙, 법령적용 - 개인정보의수집 이용, 제3자제공, 위탁, 안전한관리, 파기, 정보주체권익보호등 Ⅲ. 인사 노무업무단계별개인정보처리요령 24 - 채용준비단계 ( 채용계획및전형 ) - 채용결정단계 ( 근로계약체결 ) - 고용유지단계 ( 인력배치및이동, 인사평가, 보수 후생복지, 교육훈련, 인사정보관리등 ) - 고용종료단계 ( 퇴직자경력증명등 ) 참고자료 1. 표준양식 ( 입사지원서, 근로계약서, 인사기록카드, 개인정보제공동의서 ) 46 2. 이것만은꼭! ( 필수조치사항 ) 58 3. 개인정보보호관계법령 61
< 용어설명 > 1. 근로자 란직업의종류와관계없이임금을목적으로사업이나 사업장에근로를제공하는자를말한다. 2. 사용자 란사업주또는사업경영담당자, 그밖에근로자에 관한사항에대하여사업주를위하여행위하는자를말한다. 3. 정보주체 란처리되는정보에의하여알아볼수있는사람으로서 그정보의주체가되는사람을말한다. 4. 개인정보처리 란개인정보의수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그밖에이와유사한행위를말한다. 5. 개인정보처리자 란업무를목적으로개인정보파일을운용하기 위하여스스로또는다른사람을통하여개인정보를처리하는 공공기관, 법인, 단체및개인등을말한다. 6. 개인정보파일 이란개인정보를쉽게검색할수있도록일정한 규칙에따라체계적으로배열하거나구성한개인정보의집합물을 말한다. 7. 개인정보보호책임자 라함은개인정보의처리에관한업무를 총괄해서책임지는자로서개인정보보호법시행령제 32 조제 2 항 제 1 호및제 2 호에해당하는자를말한다. 8. 내부관리계획 이란개인정보처리자가개인정보를안전하게처리 하기위하여내부의사결정절차를통하여수립 시행하는내부 기준을말한다.
Ⅰ. 가이드라인개요 1. 발간배경및목적 개인정보보호에대한사회적요구 개인정보는개인에게는인권, 기업에게는영업자산및사회활동의기반, 국가에게는신뢰도와밀접하게연관되어있음 자기정보결정권에대한사회적관심및개인정보침해에따른손해배상증가로개인정보보호에대한필요성증가 개인정보보호법등관계법령개정사항반영필요 12년 개인정보보호가이드라인 ( 인사 노무편 ) 발간이후개인정보보호법등관련법령등의개정사항반영필요 인사 노무업무단계별개인정보처리기준, 유의사항및질의응답등을종합적으로정리하여가이드라인의실효성확보 - 1 -
2. 가이드라인구성 근로자등 1) 정보주체의개인정보를안전하게관리하기위해가이드라인에서소개하는주요내용은다음과같음 - 개인정보의개념및보호원칙 - 개인정보처리단계별관리 : 수집, 이용, 제3자제공, 위탁, 보관, 파기등 - 인사 노무업무단계별개인정보처리요령및사례 : 채용계획및전형, 근로계약체결, 재직자인사관리 ( 전보, 인사평가, 급여및후생복지, 교육훈련등 ), 퇴직등 - 사업자 ( 인사 노무관리담당자 ) 가반드시준수해야할사항 또한개인정보처리를수반하는인사 노무업무에서참고할수있는서식, 질의응답 (FAQ) 과개인정보보호관계법령소개 3. 가이드라인활용및저작권표시 이가이드라인의저작권은행정자치부와고용노동부에있음 개인정보보호교육목적으로이가이드라인을활용 ( 인용, 편집등포함 ) 하고자하는경우 - 아래와같이가이드라인제목및저작권보유기관표시 * 출처 : 개인정보보호가이드라인 인사 노무편 행정자치부 고용노동부 (2015) 1) 근로자등 이란근로자, 입사지원자 ( 근로를제공하고자하는자 ) 및근로를제공하 였던자 ( 퇴직근로자 ) 및이에준하는자를말한다. 이하같다. - 2 -
< 가이드라인주요개정내용 > 주민등록번호수집법정주의도입 ( 14. 8. 7.) 반영 - 주민등록번호는법령에근거가있는경우등예외적인경우에만사용 가능 ( 정보주체의동의가있어도수집불가 ) 주민등록번호를전자적으로보관하는경우에는암호화하여보관하여야함 ( 개인정보보호법제24조의2) - 100만명미만의정보주체에관한주민등록번호를보관하는개인정보처리자 : 2016년말까지암호화조치완료 - 100만명이상의정보주체에관한주민등록번호를보관하는개인정보처리자 : 2017년말까지암호화조치완료 주민등록번호암호화조치미이행시 3 천만원이하의과태료부과 개인정보유출시피해구제강화를위한제도도입 - 법위반행위로인해취득한금품및이익의몰수 추징제도신설 - 징벌적손해배상제도 * 법정손해배상제도 ** 도입 ( 16. 7 시행 ) * 고의또는중과실로인한피해발생시손해액의 3배범위내에서손해배상가능 ** 법원의판결로 300만원이내의범위에서손해배상가능 안전성확보조치기준고시, 영상정보처리기기가이드라인등의개정사항 반영 - 개인정보파기요령, 영상정보보관기간등 - 3 -
Ⅱ. 근로자등개인정보처리기본원칙 1. 개인정보보호개요 1 개인정보의개념 개인정보 란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 - 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함 < 개인정보의범위 > 1) 자연인에관한정보 - 법인이나단체의정보는개인정보의범위에포함되지않음 2) 생존하는 자연인에관한정보 - 이미사망하였거나민법에의한실종신고등관계법령에의해사망한것 으로간주되는자에관한정보는법률상의개인정보로볼수없음 3) 특정개인을알아볼수있는정보 - 해당정보만으로는특정개인을식별할수없다하더라도 다른정보와쉽게결합 하여식별가능하다면개인정보에해당됨 - 다른정보와쉽게결합 의의미는일률적으로판단할수는없으며, 다른개인정보의종류등상황에따라달라짐 4) 정보의종류 형태제한없음 - 문자 음성 부호 영상등정보의종류나형태는제한이없음 - 연령, 주소등개인에대한객관적정보는물론개인에대한의견, 평가등제 3 자에의해생성된주관적인정보도개인정보의범위에 포함됨 - 4 -
< 개인정보의예시 > 유형구분일반정보가족정보교육및훈련정보병역정보부동산정보소득정보그밖의수익정보신용정보고용정보법적정보의료정보조직정보통신정보위치정보신체정보습관및취미정보 개인정보항목 이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적 가족구성원들의이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호 학교출석사항, 최종학력, 학교성적, 기술자격증및전문면허증, 이수한훈련프로그램, 동아리활동, 상벌사항 군번및계급, 제대유형, 주특기, 근무부대 소유주택, 토지, 자동차, 기타소유차량, 상점및건물등 현재봉급액, 봉급경력, 보너스및수수료, 기타소득의원천, 이자소득, 사업소득 보험 ( 건강, 생명등 ) 가입현황, 회사의판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가 대부잔액및지불상황, 저당, 신용카드, 지불연기및미납의수, 임금압류통보에대한기록 현재의고용주, 회사주소, 상급자의이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격테스트결과직무태도, 취업일 퇴직일등근속기간, 휴가 휴직기록, 근무시간기록등 전과기록, 자동차교통위반기록, 파산및담보기록, 구속기록, 이혼기록, 납세기록 가족병력기록, 과거의의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트등각종신체테스트정보 노조가입, 종교단체가입, 정당가입, 클럽회원 전자우편 (E-mail), 전화통화내용, 로그파일 (Log file), 쿠키 (Cookies) GPS 나휴대폰에의한개인의위치정보 지문, 홍채, DNA, 신장, 가슴둘레등 흡연, 음주량, 선호하는스포츠및오락, 여가활동, 비디오대여기록, 도박성향 - 5 -
2 개인정보보호원칙 개인정보보호법의주요내용은정보주체의 개인정보자기결정권 보장 - 이를위해서는개인정보의수집 이용 제공등이정보주체의동의등처리요건에해당하여적법한절차에따라이루어지고, - 개인정보를처리함에있어개인정보가내부자의고의나관리부주의또는외부의공격으로인해분실 도난 유출 위조 변조 훼손되지않도록안전하게관리되어야함 < 개인정보자기결정권 > - 인간의존엄과가치, 행복추구권을규정한 헌법 제 10 조제 1 문에서도출되는일반적인격권및 헌법 제 17 조의사생활의비밀과자유에의하여보장되는개인정보자기결정권은자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리 - 정보주체가개인정보의공개와이용에관하여스스로결정할권리 - 개인정보자기결정권의보호대상이되는개인정보는개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그개인의동일성을식별할수있게하는일체의정보라고할수있고, 반드시개인의내밀한영역이나사사 ( 私事 ) 의영역에속하는정보에국한되지않고공적생활에서형성되었거나이미공개된개인정보까지포함함. - 또한그러한개인정보를대상으로한조사 수집 보관 처리 이용등의행위는모두원칙적으로개인정보자기결정권에대한제한에해당함 ( 헌재 2005. 5. 26. 99 헌마 513 등, 공보 105, 666, 672) 개인정보보호법제 3 조에따른개인정보보호에관한원칙 - 6 -
< 개인정보보호원칙 > 개인정보보호법 ( 제 3 조 ) 목적에필요한최소한범위안에서적법하고정당하게수집 OECD 가이드라인 수집제한의원칙 처리목적범위안에서정확성 완전성 최신성보장 정보정확성의원칙 처리목적의명확화 목적명확화원칙 필요목적범위안에서적법하게처리, 목적외활용금지 이용제한의원칙 정보주체의권리침해위험성등을고려, 안전성확보 안전성확보원칙 개인정보처리사항공개 ( 처리방침공개, 법제 30 조 ) 공개의원칙 열람청구권등정보주체의권리보장 정보주체참여원칙 개인정보처리자의책임준수 실천, 신뢰성확보노력 책임의원칙 3 법령의적용 개인정보보호법은개인의존엄과가치를구현하기위하여개인정보처리에관한사항을규정하고있는일반법 인사 노무관계를규율하고있는다른법령등에근로자등의개인정보처리와관련된특별한규정이있으면해당법령이우선적용되며그렇지않은경우개인정보보호법이적용 * 단, 법률의위임없이시행령, 시행규칙, 고시등하위규정으로개인정보처리에관해규정하는경우에는우선적적용에서제외 < 개인정보보호법제 6 조 ( 다른법률과의관계 ) > 개인정보보호에관하여는다른법률에특별한규정이있는경우를제외하고는이법에서정하는바에따른다. - 7 -
2. 개인정보처리단계별관리 가. 개인정보의수집 이용 1 개인정보수집요건 근로자등정보주체의개인정보를수집하기위해서는다음의수집요건에해당하는지확인 근로자등정보주체의동의를받은경우 < 개인정보수집에대해동의를받는방법 > - 근로자등에게다음의내용을알리고동의를받아야함 1) 수집 이용목적 2) 수집항목 3) 보유및이용기간 4) 동의거부권리가있다는사실및동의거부시불이익이있다면그내용 - 법률에특별한규정이있거나법령상의무준수를위해불가피한경우 ( 근로기준법에따른근로자명부및임금대장작성등 ) - 계약의체결및이행을위하여불가피하게필요한경우 * 채용예정직위의직무특성에따라요구되는입사지원자의경력 자격 학력입증자료및연락처등은근로계약체결에불가피하게필요한정보로인정 * 단, 단순노무등학력이나경력등이요구되지않는직위채용시에는학력, 경력등의정보는계약체결을위해필수적인정보로볼수없음 - 근로자등정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히근로자등정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 - 사용자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 * 이경우사용자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한함 - 8 -
2 최소한수집원칙과입증책임 개인정보를수집할때는필요최소한으로수집하여야하며, 수집목적에필요한최소한의개인정보수집이라는입증책임은사용자 ( 개인정보처리자 ) 가부담 - 필요한최소한의정보외의개인정보수집에동의하지아니한다는이유로근로자등에게인사조치등의불이익을주어서는아니됨 3 고유식별정보및민감정보수집 고유식별정보또는민감정보를수집하는경우에는법령에구체적인근거가있는지확인필요 고유식별정보 : 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 민감정보 : 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 유전정보, 범죄경력자료에해당하는정보등 * 법령근거에따른고유식별정보수집예시 : 연말정산을위해소득세법에따른주민등록번호수집 법령에근거가없음에도불구하고정당한수집사유가있는경우필요최소의범위에서별도동의를얻어수집 이용 ( 주민등록번호제외 ) * 별도동의란일반적인개인정보처리에대한동의외에고유식별정보또는민감정보수집에대한동의를추가로받는것을의미 고유식별정보중주민등록번호는법령이구체적으로주민등록번호의처리를요구하거나허용한경우에만처리가능 ( 개인정보보호법제24조 2) < 주민등록번호처리가능사유 > 1 법령에서구체적으로주민등록번호의처리를요구하거나허용한경우 2 정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우 3 위 2 개사유에준하여주민등록번호처리가불가피한경우로서행정자치부령으로정하는경우 - 9 -
4 금지되는개인정보수집 부정한수단이나방법을통한개인정보의수집 - 거짓이나그밖의부정한수단이나방법으로개인정보를취득하거나처리에관한동의를받는행위금지 - 정당한권한없이또는허용된권한을초과하여다른사람의개인정보를훼손, 멸실, 변경, 위조, 변조또는유출하는행위 나. 개인정보의제3자제공 1 제3자제공요건 근로자등의개인정보를제3자에게제공하기위해서는다음의요건에해당하는지확인 - 근로자등정보주체의동의를받은경우 < 제3자제공을위해동의받는방법 > 근로자등의동의를받고개인정보를제공하는경우에는다음의내용을알리고동의를받아야함 ( 국외의제 3 자제공도동일 ) 1) 제공받는자, 2) 제공받는자의개인정보이용목적, 3) 제공하는개인정보항목, 4) 제공받는자의개인정보보유및이용기간, 5) 동의거부권리가있다는사실및동의거부시불이익이있는경우그내용 - 법률에특별한규정이있거나법령상의무준수를위해불가피한경우 - 근로자등정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히근로자등정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 2 고유식별정보및민감정보의제 3 자제공 특히, 고유식별정보또는민감정보를제 3 자에게제공하는경우에는 법령에구체적인근거가있는지확인 - 10 -
만일법령에근거가없음에도반드시제공하여야한다면정보주체 로부터별도의동의필요 * 다만, 주민등록번호는법령근거가있는경우에만제공가능 3 금지되는개인정보제공 업무상알게된개인정보를누설하거나권한없이다른사람이이용 하도록제공하는행위금지 ( 개인정보보호법제 59 조 ) 다. 개인정보처리위탁 1 위탁방법 사용자가근로자등정보주체의개인정보처리업무 ( 연말정산 입사지원서처리사무등 ) 를위탁하는경우아래사항이포함된문서에의하여야함 * 이경우에는정보통신망이용촉진및정보보호등에관한법률제25조제1항에서요구하는개인정보취급위탁에대한동의는필요없음 - 위탁업무수행목적외개인정보의처리금지에관한사항 - 개인정보의기술적 관리적보호조치에관한사항 - 위탁업무의목적과범위및재위탁제한에관한사항 - 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 - 수탁자준수의무위반시손해배상등책임에관한사항 * 개인정보보호관련표준위탁계약서는참고1의서식활용 < 개인정보의제 3 자제공과개인정보처리업무위탁의구분 > 구분업무위탁제 3 자제공 관련조항개인정보보호법제 26 조개인정보보호법제 17 조 처리목적 위탁자의이익을위하여처리 ( 수탁업무처리 ) 제 3 자의이익을위하여처리 예측가능성정보주체가사전예측가능정보주체가사전예측곤란 관리 감독책임위탁자책임 ( 사용자책임 ) 제공받는자책임 손해배상책임위탁자부담 ( 사용자책임 ) 제공받는자부담 - 11 -
2 위탁에관한사항공개 위탁업무내용과개인정보처리업무수탁자를근로자등이언제든지쉽게확인할수있도록접수대또는게시판등에공개 * 입사지원자, 퇴직자를제외한내부근로자의개인정보처리위탁에관한내용은내부게시판, 내부간행물또는계약서등을통해관련자에게만공개할수있음 3 위탁자의교육및감독의무 위탁자는정보주체의개인정보가분실 도난 유출 위조 변조 훼손되지않도록수탁자를교육하고, 처리현황점검등수탁자가개인정보를안전하게처리하는지감독하여야함 4 손해배상책임 수탁자가위탁받은업무와관련하여개인정보를처리하는과정에서 개인정보보호법 을위반하여발생한손해배상책임에대하여는수탁자를사용자의소속직원으로봄 < 수탁자의의무 > 개인정보처리업무수탁자는개인정보처리업무에관하여수집 이용, 제공, 보관등과관련하여개인정보처리자에게부과되는의무를준수하여야함 - 12 -
라. 개인정보의안전한관리 1 관리적, 기술적, 물리적조치 개인정보의안전성확보를위해다음과같은 관리적, 기술적, 물리적조치 를하여야함 * 개인정보보호법제29조, 시행령제30조, 안전성확보조치기준고시 관리적조치 기술적조치 물리적조치 내부관리계획의수립 시행 ( 개인정보보호책임자지정등 ) 접근권한의제한 접근통제시스템설치및운영 접근권한의관리 개인정보암호화 * 주민번호를보관시에는반드시암호화하여야함 접속기록의보관및위 변조방지 보안프로그램의설치및운영 개인정보의안전한보관을위한보관시설 개인정보가포함된 USB 의반출 입통제 개인정보의파기 내부관리계획수립 시행 - 근로자등의개인정보를안전하게처리하기위하여다음의내용이포함된내부관리계획을수립 시행하여야함 개인정보보호책임자의지정에관한사항 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 개인정보의안전성확보에필요한조치에관한사항 개인정보취급자에대한교육에관한사항 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 그밖에개인정보보호를위하여필요한사항 < 소기업및소상공인에대한예외 > 소기업및소상공인지원을위한특별조치법제 2 조 ( 상시근로자 10 인미만의사업자 ) 및동법시행령제 2 조에의한소상공인 ( 업종에따라상시근로자 10 인또는 5 인미만 ) 에해당하는경우에는내부관리계획을수립하지아니할수있음 - 13 -
접근권한의관리 - 개인정보처리시스템을운영하는경우시스템에대한불필요한접근과무인가접근차단을위한접근권한관리가필요 < 접근권한관리방법 > - 접근권한을업무수행에필요한최소한의범위로담당자에따라차등부여 * 고객관리프로그램에대한업무담당자별권한이동일하여사용권한의차등부여가어려울경우, 담당자별로 ID 부여 - 개인정보취급자변경시지체없이시스템의접근권한변경또는말소 - 접근권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 3 년간보관 - 개인정보취급자별사용자계정이다른개인정보취급자와공유되지않도록관리 - 개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용 접근통제시스템설치및운영 - 개인정보처리시스템을운영하는경우시스템에대한불필요한접근과 무인가접근차단을위한접근권한관리필요 암호화 - 고유식별정보또는바이오정보등을아래와같이처리하는경우에는 안전한알고리즘으로암호화하여야함 - 주민등록번호를전자적인방법으로저장하는경우 * 100 만명미만의정보주체에관한주민번호 : 16 년말까지 * 100 만명이상의정보주체에관한주민번호 : 17 년말까지 - 정보통신망을통하여송 수신하거나보조저장매체등을통하여전달하는경우 - 학습자등의비밀번호및바이오정보 ( 지문등 ) 를저장하는경우 * 특히, 비밀번호저장시에는복호화되지아니하도록일방향암호화하여저장 - 인터넷구간및인터넷구간과내부망의중간지점 (DMZ : DeMilitarized Zone) 에고유식별정보를저장하는경우 - 내부망에고유식별정보를저장하는경우로서위험도분석결과암호화가필요하다고판단된경우 - 14 -
접속기록의보관및위조 변조방지를위한조치 - 개인정보취급자가개인정보처리시스템에접속한기록은최소 6 개월 이상위 변조및도난, 분실되지않도록안전하게보관 < 접속기록항목예시 > 필수기록항목 ID 날짜및시간접속자 IP주소수행업무 설명개인정보취급자식별정보접속일시접속지정보열람, 수정, 삭제, 인쇄, 입력등 - 개인정보의유출 위조 변조 훼손등에대응하기위하여개인정보처리시스템의접속기록등을반기별로 1회이상점검하여야함 - 업무용모바일기기의분실 도난등으로개인정보가유출되지않도록해당기기에비밀번호설정등의보호조치를하여야함 보안프로그램설치및업데이트 - 악성프로그램등의감염을예방 치료할수있는백신소프트웨어등의보안프로그램설치 운영 < 보안프로그램설치및운영방법 > - 자동업데이트기능을사용하거나, 일 1 회이상업데이트실시 - 악성프로그램관련경보가발령시나사용중인응용프로그램또는운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우, 즉시이에따른업데이트실시 안전한보관을위한물리적조치 - 개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한장소에보관 - 개인정보가포함된보조저장매체의반출 입통제를위한보안대책을마련하여야함 - 15 -
기타 - 개인정보의훼손, 멸실, 변경, 위조, 유출, 누설금지 ( 개인정보보호법제59조 ) - 근로자의개인정보는인사또는복지등에있어서중요한자료로활용되므로정확성및최신성확보를위한노력필요 2 개인정보처리방침의수립및공개 사업자는근로자등에관한개인정보처리방침을수립하고홈페이지또는사업장게시등을통해공개해야함 입사지원자, 퇴직자를제외한근로자의개인정보처리위탁에관한내용은내부게시판, 내부간행물또는계약서등을통해관련자에게만공개가능 - 개인정보의처리목적 - 개인정보의처리및보유기간 - 개인정보의제3자제공에관한사항 ( 해당되는경우 ) - 개인정보처리의위탁에관한사항 ( 해당되는경우 ) - 정보주체의권리 의무및그행사방법에관한사항 - 처리하는개인정보의항목 - 개인정보의파기에관한사항 - 개인정보의안전성확보조치에관한사항 3 개인정보보호책임자지정 개인정보의처리에관한업무총괄및다음의업무수행을위해개인정보보호책임자를지정하여야함 - 개인정보보호계획의수립및시행 - 개인정보처리실태및관행의정기적인조사및개선 - 개인정보처리와관련한불만의처리및피해구제 - 개인정보유출및오용 남용방지를위한내부통제시스템의구축 - 개인정보보호교육계획의수립및시행 - 개인정보파일의보호및관리 감독 - 16 -
- 개인정보처리방침의수립 변경및시행 - 개인정보보호관련자료의관리 - 처리목적이달성되거나보유기간이지난개인정보의파기 < 개인정보보호책임자의자격및권한 > - ( 자격 ) 사업주또는대표자이거나, 개인정보처리관련업무를담당하는부서의장또는개인정보보호에관한소양이있는사람 ( 개인정보처리업무경험과관리적 기술적 물리적보호조치를할수있는자 ) - ( 권한 ) 개인정보의처리현황, 처리체계등에대하여수시로조사하거나관계당사자로부터보고를받을수있음 * 개인정보보호책임자는업무를수행함에있어서정당한이유없이불이익을받지아니함 마. 파기 보유기간의경과, 개인정보처리목적달성등으로개인정보가불필요하게되었을때는지체없이 (5일이내 ) 해당개인정보파기 - 파기방법 : 개인정보가복구또는재생되지아니하도록파기 < 복구또는재생되지아니하도록파기 의의미 > - 전자적파일은사회통념상현재기술수준에서적절한비용이소요되는방법으로서복원이불가능한방법활용 - 인쇄물등은파쇄또는소각 개인정보의일부만파기하는경우로서위의방법으로파기하는것이어려운때에는다음의조치를하여야함 - 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 - 전자적파일외인경우 : 기록물, 인쇄물, 서면, 그밖의기록은해당부분을마스킹, 천공등으로삭제 다른법령에따라보존해야하는경우에는보존하되, 해당개인정보 ( 또는개인정보파일 ) 를다른개인정보와분리하여서보관하여야함 - 17 -
바. 정보주체의권익보호 1 정보주체이외로부터수집한개인정보에대한고지 근로자등정보주체이외로부터수집한개인정보를처리하면서정보주체의요구가있으면다음의사항을알려야함 - 개인정보의수집출처 - 개인정보의처리목적 - 개인정보처리의정지를요구할권리가있다는사실 * 다만, 고지로인하여다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우에는그러하지아니함 2 개인정보의열람 근로자등이자신의개인정보에대한열람을요구할경우에는 10일이내에다음과같은조치하여야함 - 정당한사유가있으면정보주체에게그사유를알리고열람을연기할수있으며, 사유가소멸하면지체없이열람하게하여야함 - 법률에따라열람이금지되거나제한되는경우또는다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우에는열람을제한하거나거절할수있음 3 개인정보의정정 삭제 근로자등이자신의개인정보정정 삭제를요구할경우 10일이내에조치하고그결과를근로자등정보주체에게통지하여야함 - 법령에따라수집 이용하는개인정보에대해서는정보주체가개인정보정정 삭제 처리정지등을요구할수없으므로정보주체에게지체없이그내용을알려야함 - 18 -
4 개인정보의처리정지 근로자등이자신의개인정보처리정지를요구할경우 10일이내에개인정보처리의전부또는일부를정지하여야함 * 처리정지된개인정보에대해서는파기등필요한조치를취해야함 다음과같은경우에는처리정지요구를거절할수있음 - 법률에특별한규정이있거나법령상의무를준수하기위해불가피한경우 - 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 * 처리정지요구거절허용요건에해당하여거절하는경우에는그사실및이유와이의제기방법을 10일이내에고지하여야함 5 개인정보유출시통지 근로자등정보주체의개인정보가유출된것으로확인된때에는 5일이내에해당근로자등에게다음의사실을통지하여야함 - 유출된개인정보의항목 - 유출된시점과그경위 - 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 - 사용자의대응조치및피해구제절차 - 정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처 1만명이상의정보주체에관한개인정보가유출된경우에는정보주체에대한유출통지및유출피해최소화조치결과를 5일이내에행정자치부장관또는한국인터넷진흥원에신고하여야함 - 19 -
6 피해구제방법 개인정보보호법은다음과같은피해구제절차를규정하고있음 - 개인정보침해에따른분쟁조정및집단분쟁조정 - 권리침해중지 정지요구를위한단체소송 - 징벌적손해배상제도 * 법정손해배상제도 ** 도입 ( 16. 7 시행 ) * 고의또는중과실로인한피해발생시손해액의 3배범위내에서손해배상가능 ** 법원의판결로 300만원이내의범위에서손해배상가능 - 20 -
< 집단분쟁조정및단체소송 > 구분집단분쟁조정 ( 법제 49 조 ) 단체소송 ( 법제 51~57 조 ( 제 7 장 )) 주체 국가및지방자치단체, 개인정보보호 단체및기관, 정보주체, 개인정보처리자 법정요건을갖춘소비자단체및비영리 민간단체 청구 범위 정보주체의피해또는권리침해가다수의정보주체에게같거나비슷한유형으로발생하는경우분쟁조정위원회에일괄적인분쟁조정신청 집단분쟁조정을거부하거나집단분쟁조정의결과를수락하지아니한경우에는법원에권리침해행위금지 중지청구 손해배상은별도의민사소송제기필요 허가 요건 피해또는권리침해를입은정보주체의수가 50인이상일것 소송제기, 피해보상합의등제외 법률상또는사실상중요쟁점이모든구성원에게공통될것 개인정보처리자가분쟁조정위원회의조정을거부하거나조정결과를수락하지아니하였을것 소송허가신청서의기재에흠결이없을것 효력 범위 판결의효력은집단분쟁조정의당사자에게미침 - 그러나분쟁조정위원회는분쟁조정의당사자아닌자로서피해를입은정보주체에대하여보상할수있도록권고가능 동법제49조 ( 집단분쟁조정 ) 5 분쟁조정위원회는개인정보처리자가분쟁조정위원회의집단분쟁조정의내용을수락한경우에는집단분쟁조정의당사자가아닌자로서피해를입은정보주체에대한보상계획서를작성하여분쟁조정위원회에제출하도록권고할수있다. 소비자기본법 에는기각판결에대해확정판결의효력이있음을규정하고있으나, 인용판결의효력에대해서는명시적규정없음 원칙적으로단체소송의효력은단체회원, 단체에개별적으로피해구제를위임한자, 단체자신으로제한됨 - 21 -
참고 처리단계별준수사항및위반시벌칙사항 구분주요내용처벌및벌칙 일반 수집 이용 제공 위탁 공공기관에서처리하고있는개인정보를변경 말소하여공공기관의업무수행의중단 마비등심각한지장을초래한자 거짓이나그밖의부정한수단이나방법으로다른사람이처리하고있는개인정보를취득한후이를영리또는부정한목적으로제 3 자에게제공한자와이를교사 알선한자 민감정보처리요건을위반하여민감정보를처리한자 ( 제 23 조 ) 고유식별정보처리요건을위반하여고유식별정보를처리한자 ( 제 24 조 ) 선택적으로동의사항에대한미동의또는미동의를정보주체에게재화또는서비스의제공을거부한자 ( 제 22 조제 4 항 ) 정보주체이외로부터수집한개인정보처리시정보주체의요구가있음에도불구하고정보주체에게알려야하는사항을알리지아니한자 ( 제 20 조제 1 항 ) 법령근거등처리허용요건을위반하여주민등록번호를처리한자 ( 제 24 조의 2) 동의를받는방법을위반하여동의를받은자 ( 제 22 조제 1 항 ) 거짓이나그밖의부정한수단이나방법으로개인정보를취득하거나개인정보처리에관한동의를받는행위를한자및그사정을알면서도영리또는부정한목적으로개인정보를제공받은자 ( 제 59 조제 1 호 ) 개인정보의수집요건을위반하여수집한자 ( 제 15 조제 1 항 ) 만 14 세미만아동의개인정보수집시법정대리인의동의를받지아니한자 ( 제 22 조제 5 항 ) 영상정보처리기기설치 운영금지장소 ( 탈의실 목욕실등 ) 에영상정보처리기기를설치 운영한자 ( 제 25 조제 2 항 ) 개인정보수집을위한정보주체의동의를받을때정보주체에게알려야할사항을알리지아니한자 ( 제 15 조제 2 항 ) 필요한최소한의정보외의개인정보수집에동의하지아니한다는이유로정보주체에게재화또는서비스의제공을거부한자 ( 제 16 조제 3 항 ) 법령근거등주민번호처리요건을위반하여주민등록번호를처리한자 ( 제 24 조의 2) 정보주체의동의없는개인정보제 3 자제공자및그사정을알고개인정보를제공받은자 (17 조 ) 개인정보의목적외이용ㆍ제공자및그사정을알면서도영리또는부정한목적으로개인정보를제공받은자 ( 제 18 조, 제 19 조, 제 26 조제 5 항, 제 27 조제 3 항 ) 개인정보제 3 자제공을위한정보주체의동의를받을때정보주체에게알려야할사항을알리지아니한자 ( 제 17 조제 2 항, 제 18 조제 3 항 ) 위탁자가재화또는서비스의홍보, 판매권유업무위탁시정보주체에게알려야할사항을알리지아니한자 ( 제 26 조제 3 항 ) 정보주체가주민등록번호를사용하지아니할수있는방법을제공하지아니한자 ( 제 24 조의 2 제 2 항 ) 개인정보처리업무위탁시필요적기재사항이포함된문서에의하지아니한자 ( 제 26 조제 1 항 ) 위탁하는업무의내용과수탁자를공개하지아니한자 ( 제 26 조제 2 항 ) 10 년이하의징역또는 1 억원이하의벌금 ( 제 70 조 ) 몰수 추징 ( 제 74 조의 2) 5 년이하징역또는 5 천만원이하벌금 ( 제 71 조 ) 몰수 추징 ( 제 74 조의 2) 3 천만원이하의과태료 ( 제 75 조제 2 항 ) 1 천만원이하의과태료 ( 제 75 조제 3 항 ) 3 년이하징역또는 3 천만원이하벌금 ( 제 72 조 ) 몰수 추징 ( 제 74 조의 2) 5 천만원이하과태료 ( 제 75 조제 1 항 ) 3 천만원이하과태료 ( 제 75 조제 2 항 ) 5 년이하징역또는 5 천만원이하벌금 ( 제 71 조 ) 몰수 추징 ( 제 74 조의 2) 3 천만원이하과태료 ( 제 75 조제 2 항 ) 1 천만원이하과태료 ( 제 75 조제 3 항 ) - 22 -
구분주요내용처벌및벌칙 안전한 개인정보 관리 정보주체 권익보호 업무상알게된개인정보의누설, 권한없이다른사람이이용하도록제공한자및그사정을알면서도영리또는부정한목적으로개인정보를제공받은자 ( 제 59 조제 2 호 ) 다른사람의개인정보의훼손, 멸실, 변경, 위조, 유출한자 ( 제 59 조제 3 호 ) 영상정보처리기기의설치목적과다른목적으로영상정보처리기기를임의로조작하거나다른곳을비추는자또는녹음기능을사용한자 ( 제 25 조제 5 항 ) 직무상알게된비밀을누설하거나직무상목적외이용한자 ( 제 60 조 ) 안전성확보에필요한보호조치를취하지않아개인정보를도난 유출 위조 변조또는훼손당하거나분실한자 ( 제 24 조제 3 항, 제 25 조제 6 항, 제 29 조 ) 고유식별정보및개인정보의안전성확보에필요한조치를하지아니한자 ( 제 24 조제 3 항, 제 25 조제 6 항, 제 29 조 ) 주민등록번호의암호화조치를하지아니한자 ( 제 24 조의 2 제 2 항 ) 영상정보처리기기설치ㆍ운영요건을위반하여영상정보처리기기를설치 운영한자 ( 제 25 조 ) 개인정보유출시조치결과를신고하지아니한자 ( 제 34 조제 1 항 ) 법령에따라보존하여야하는개인정보를분리하여저장 관리하지아니한자 ( 제 21 조 ) 개인정보처리방침을정하지아니하거나이를공개하지아니한자 ( 제 30 조제 1 항 제 2 항 ) 개인정보보호책임자를지정하지아니한자 ( 제 31 조제 1 항 ) 영상정보처리기기안내판설치등필요한조치를하지아니한자 ( 제 25 조제 4 항 ) 개인정보의정정 삭제요청에대한필요한조치를취하지않고, 개인정보를계속이용하거나제 3 자에게제공한자 ( 제 36 조 ) 개인정보의처리정지요구에따라처리를중단하지않고계속이용하거나제 3 자에게제공한자 ( 제 37 조 ) 개인정보유출시통지사항을정보주체에게통지하지아니한자 ( 제 34 조제 1 항 ) 정보주체의개인정보열람요구에대하여부당하게열람을제한하거나거절한자 ( 제 35 조제 3 항 ) 정보주체의정정 삭제요구에따른정정 삭제등필요한조치를하지아니한자 ( 제 36 조제 2 항 ) 정보주체의요구에따라처리정지된개인정보에대해파기등의필요한조치를하지아니한자 ( 제 37 조제 4 항 ) 행정자치부장관의시정명령을이행하지아니한자 ( 제 64 조제 1 항 ) 정보주체에게개인정보의이전사실을알리지아니한자 ( 제 27 조제 1 항 제 2 항 ) 정보주체의열람, 정정 삭제, 처리정보요구거부시정보주체에게알려야할사항을알리지아니한자 ( 제 35 조제 3 항 제 4 항, 제 36 조제 2 항 제 4 항, 제 37 조제 3 항 ) 관계물품 서류등자료를제출하지아니하거나거짓으로제출한자 ( 제 63 조제 1 항 ) 출입 검사를거부 방해또는기피한자 ( 제 63 조제 2 항 ) 파기개인정보를파기하지아니한자 ( 제 21 조제 1 항 ) 5 년이하징역또는 5 천만원이하벌금 ( 제 71 조 ) 몰수 추징 ( 제 74 조의 2) 3 년이하징역또는 3 천만원이하벌금 ( 제 72 조 ) 몰수 추징 ( 제 74 조의 2) 2 년이하징역또는 2 천만원이하벌금 ( 제 73 조 ) 몰수 추징 ( 제 74 조의 2) 3 천만원이하과태료 ( 제 75 조제 2 항 ) 1 천만원이하과태료 ( 제 75 조제 3 항 ) 2 년이하징역또는 2 천만원이하벌금 ( 제 73 조 ) 몰수 추징 ( 제 74 조의 2) 3 천만원이하과태료 ( 제 75 조제 2 항 ) 1 천만원이하과태료 ( 제 75 조제 3 항 ) 3 천만원이하과태료 ( 제 75 조제 2 항 ) - 23 -
Ⅲ. 인사 노무업무단계별개인정보처리요령 1. 채용준비단계 채용준비 채용결정 고용유지 고용종료 < 주요점검사항 > 채용계획수립 : 적절한인재선발을위해필요한개인정보결정및개인정보의안전한관리계획수립 채용전형 : 수집절차준수 ( 정보주체로부터의동의획득등 ) 및개인정보유 노출주의 합격자통보 : 개인정보유 노출주의 입사지원자권익보호 : 수집한개인정보의열람요구대응 가. 채용기획단계 개인정보최소수집원칙에근거한채용계획수립 - 개별기업별로인재선발에반드시필요한개인정보를결정하고해당개인정보의수집 이용계획수립 * 개별기업이선호하는인재상, 채용예정직위의직무특성, 채용방법등에따라반드시필요한개인정보는다를수있음 * 단, 반드시필요한개인정보수집에관한입증책임은채용기업이부담하므로, 전형에필요없는개인정보 ( 본적, 주민등록번호등 ) 는수집하지않도록주의 < 최소한의개인정보예시 > - 지원자확인및연락에필요한개인정보 : 이름, 전화번호, 주소 - 지원자의직무수행능력을평가하는데필요한개인정보 : 학력, 성적, 자격사항 ( 채용예정직위의직무수행을위해학력, 경력, 자격이요구되는경우 ) - 기업이채용을위해반드시필요하다고인정한개인정보는정보주체의동의없이수집 이용가능 * 단, 정보주체로부터직접수집하지않은경우에는정보주체의요구가있을경우, 집출처, 처리목적, 개인정보처리정지요구권이있다는사실을알려주어야함 - 24 -
- 고유식별정보 ( 주민등록번호등 ) 및민감정보 ( 종교, 정치적견해등 ) 의수집 이용은원칙적으로금지 * 단, 채용전형과정에서장애인, 국가유공자, 고령자등을우대하기위해관련정보를수집하는것은해당법령에근거한것이므로지원자의별도동의없이처리할수있음 * 아동 청소년관련교육기관, 공동주택의관리사무소, 인터넷컴퓨터게임시설제공업등에취업하고자하는사람에대한성범죄경력조회는아동 청소년의성보호에관련법률제56조제3항에따라본인의동의를받아실시 < 채용방법및개인정보수집유형별준수사항 > 채용및개인정보수집유형 사례 준수사항 온라인채용 개인정보직접수집 개인정보간접수집 - 인터넷공개모집 - 사이버취업박람회 ( 설명회 ) - 사용자운영인재 DB - 스토리텔링, 오디션 - 온라인채용대행업체 * - 인물 DB 등 - 최소한의개인정보만수집 - 해킹등에따른유 노출주의 - 반드시필요한정보만수집 - 수집출처 처리목적등고지 ( 지원자요청이있는경우 ) - 위탁계약은문서로처리 오프라인채용 개인정보직접수집 - 기업설명회 / 취업박람회 - 캠퍼스채용 ( 출장면접 ) - 인턴제 / 산학장학생제도 - 현장및지원자방문 (walk-ins) 채용 - 언론매체를통한모집광고 - 종업원채용추천 - 내부모집 ( 배치전환, 재고용, 사내공모등 ) - 최소한의개인정보만수집 - 입사지원자의개인정보취급자의최소화 개인정보간접수집 - 지도교수 ( 또는교사 ) 의추천 - 취업알선기관활용 ( 파견업체, 채용대행업체, 헤드헌터 ) - 최소한의개인정보만수집 - 수집출처 처리목적등고지 ( 지원자요청이있는경우 ) * 온라인채용대행업체등은주민등록번호등채용과정에꼭필요하지않은개인정보를수집하지않도록하여야 하며, 입사지원자의개인정보를열람한업체를확인할수있도록관련기록을관리하여야함 입사지원자개인정보의안전한관리를위한계획수립 - 입사지원서접수업무담당자등전형단계별개인정보취급자를필요최소한으로지정하여, 개인정보의유 노출가능성최소화 - 채용대행업체등에게입사지원자의개인정보처리업무를위탁할경우 - 25 -
위탁계약을반드시문서로처리하고, 수탁자에대한교육및개인정보의안전한처리여부를감독하기위한계획수립및시행 * 채용대행업체의수탁업무와관련한개인정보처리과정에서개인정보보호법위반으로발생한손해배상책임에대하여는채용대행업체를위탁기업의소속직원으로봄 ( 개인정보보호법제26조제6항 ) 나. 채용전형단계 채용단계별개인정보수집 - 모집공고후, 입사지원서접수, 필기시험, 면접등채용전형과정에서는해당전형에필요한최소한의개인정보만수집 - 입사지원서작성단계에서채용이후에필요한개인정보까지수집하는경우탈락자의개인정보까지불필요하게수집하는결과를초래하므로개인정보수집제한원칙에위배됨 * 채용전형단계별로필요한개인정보를수집하는경우, 지원자가해당전형과정에필요한자료를더욱충실하게작성할것을기대할수있음 < 전형단계별로수집하는개인정보예시 > 전형단계서류전형필기시험면접 수집정보 학점, 외국어성적, 자격증보유여부, 관련경력등 필기시험성적 인성 / 기타경험 / 논문제목 / 지도교수 / 포부등 * 위예시는회사에서요구하는인재상및선발방법등에따라변동가능 * 단, 종교, 임신 출산등민감정보의수집이필요한경우에는별도동의를얻어야함 * 이력서, 입사지원서, 자기소개서등의서식을검토하여인재선발과관련없는개인정보 ( 주민등록번호, 가족관계, 본적등 ) 를일괄적으로수집하는양식은수정 보완 - 26 -
< 채용전형시유의사항 > 서류전형 - 입사지원서및증빙서류등을통한주민등록번호수집불가 * 본인확인이필요한경우주소, 전화번호등활용 - 채용전형과무관한정보 ( 정치적성향, 가족의직업, 신체정보등 ) 수집불가 * 채용대행사및시중에유통되는입사지원서및이력서양식을활용할경우, 반드시필요한항목에 필수 를표기하여불필요한개인정보의수집방지 * 자기소개서에전형과무관한사생활정보, 민감정보등를기재하지않도록안내 - 행정편의를위해서류전형단계에서면접및입사이후에필요한개인 정보까지일괄적으로수집하는것은금지 - 본인으로부터직접개인정보를수집하는것이원칙이며, 제 3 자로부터 제공받는것이불가피한경우관련정보주체로부터내용 ( 출처, 수집내용등 ) 을 알려주어야함 - 입사지원자가제출한각종개인정보 ( 학력, 경력, 자격, 성적등 ) 의진위 확인이필요한경우, 관련증명서활용 * 입사지원자의성명, 주민등록번호등을해당증명서생성 ( 발급 ) 기관에제공하고관련증명서의진위를확인하는방법은새로운개인정보의수집을수반하므로가급적활용하지않는것이바람직함 신체검사 - 직무수행가능여부등의판단을위해신체검사를실시할경우, 필요한 범위에서최소한의건강정보를수집해야하며지원자의동의를받아실시 * 채용예정업무의특성에따라수집정보의종류및범위를결정 합격통보 - 합격여부는당사자에게직접통보가될수있도록전화, 이메일등을 활용 ( 홈페이지를통한통보는비밀번호등으로본인확인후실시 ) 전형종료후파기및보관 - 전형및이의신청절차등이종료된후입사지원자의개인정보는지체 없이 (5 일이내 ) 파기하는것이원칙 - 인재의수시선발등을위해탈락자의개인정보보관 이용이필요한경우, 기간을정하여당사자로부터별도동의를받아야함 * 별도동의를받아서보관 이용하는중이라도정보주체의삭제요구가있는경우즉시삭제후정보주체에게통지 * 별도동의를받아서보관하는경우기업이그동의사실에대한입증책임등을부담 - 27 -
다. 입사지원자권익보호 개인정보의제3자제공금지 - 입사지원자의개인정보를법률근거등의정당한사유없이제3자에게제공할수없으며, 제공이필요할경우당사자의동의가있는경우등제3자제공허용요건에해당하는경우제공 채용전형을온라인채용대행업체등에위탁할경우, 관리감독철저 - 입사지원자의개인정보처리위탁은필수적기재사항이기재된문서로처리 ( 표준개인정보처리위탁계약서참고 ) - 개인정보보호관계법령위반에따른손해배상책임에대하여는수탁자를사용자 ( 위탁자 ) 의소속직원으로간주 * 위탁업무내용과개인정보처리업무수탁자를정보주체가언제든지쉽게확인할수있도록사용자의인터넷홈페이지등에게재 공개 채용시험성적열람요구가있을경우, 공개하는것이원칙 - 입사지원자의채용시험성적은개인정보이므로성적열람에대한요구가있는경우해당정보주체가본인임을확인한후본인에게직접공개하는것이원칙 * 입사지원자의채용시험성적확인요구에대응하기위한절차마련필요 - 생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우등에는열람의제한또는거절가능 ( 개인정보보호법제35조제4항 ) * 다만, 시험문제및면접기법등은개인정보가아니므로개인정보보호법에따른공개대상이아님 - 28 -
FAQ 채용전단계 Q1 신입사원채용을위해입사지원서를받으려고합니다. 개인정보를얻기위해서지원자의동의를받아야하나요? 답변 ) 민감정보, 고유식별정보를제외하고채용을위해필요한최소한의개인정보에 관하여는동의없이수집할수있습니다. 계약의체결 에는계약체결을위한준비단계도포함됩니다. 회사가근로계약체결전에지원자의이력서등을수집 이용하는경우가이에해당됩니다. 일반적으로주민번호는채용전형을위해서는수집할수없으며, 법령에구체적인근거가있는경우에만수집가능합니다. 최소한의개인정보예시 - 지원자를확인하는데필요한이름, 생년월일 - 지원자와연락하는데필요한연락처, 주소 - 지원자의직무수행능력을평가하는데필요한학력, 성적, 자격사항등 ( 채용예정직위의직무수행을위해관련학력, 경력이요구되는경우 ) 참고로온라인채용사이트운영자및채용대행사등은구직자에게개인정보처리에대해구체적으로안내하고동의를받은후동의받은범위에서만관련정보를활용 제공하여야합니다. 관련법률 : 개인정보보호법제 15 조 ( 개인정보의수집 이용 ) 제 1 항제 4 호, 위반시 5 천만원이하의과태료 Q1-1 주민등록번호도동의없이수집할수있나요? 답변 ) 주민등록번호의수집은법령에근거가있는경우에만수집할수있습니다. 주민등록번호는법령에서구체적으로그처리를요구하거나허용한경우, 정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우, 그리고주민등록번호처리가불가피한경우로서행전안전부령으로정하는경우외에는처리할수없습니다. - 또한, 법령에따라주민번호를수집하는경우에는주민등록번호가분실 도난 유출 위조 변조또는훼손되지아니하도록암호화조치를통하여안전하게보관하여야합니다. 관련법률 : 개인정보보호법제24`조의 2( 주민등록번호의처리의제한 ), 위반시 2년이하의징역또는 2천만원이하의벌금, 3천만원이하의과태료 - 29 -
Q1-2 종교, 병력, 범죄관련정보등을수집해도되나요? 답변 ) 민감정보는수집하는것이원칙적으로금지되어있습니다. 반드시필요하다면지원자로부터별도의동의를받으세요. 아동 청소년의성보호에관련법률제56조제3항에따라실시하는성범죄의경력조회는본인의동의를받아서처리하세요. 민감정보를수집할필요가있는경우에는별도의동의를받으세요. 또한동의를받으실때는개인정보를수집하고이용하려는목적이무엇인지, 수집하려는개인정보가무엇인지, 개인정보를언제까지보유하고이용할것인지, 동의를거부할수있다는점과동의를하지않은경우어떤불이익이있는지알려주세요. 민감정보 : 사상 신념 ( 종교 ), 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 유전정보, 범죄경력자료에해당하는정보등 관련법률 : 개인정보보호법제22조 ( 동의를받는방법 ) 제1항, 위반시 1천만원이하의과태료동법제23조 ( 민감정보의처리제한 ) 및제24조 ( 고유식별정보의처리제한 ) 제1항, 위반시 5년이하징역또는 5천만원이하벌금 Q1-3 신원조회를위해관련기관에입사지원자의개인정보를제공하려고하는데, 별도의동의를받아야하나요? 답변 ) 입사지원자에게별도의동의를받아야합니다. 관련법률 : 개인정보보호법제 18 조 ( 개인정보의이용 제공제한 ) 제 1 항및제 2 항, 위반시 5 년이하징역 또는 5 천만원이하벌금 / 같은법제 18 조제 3 항위반시 3 천만원이하의과태료 Q1-4 입사지원자의학력과자격정보를수집하려고하는데동의를받아야하나요? 답변 ) 채용전형실시를위해필수적인정보가아니라면동의를받아야합니다. 채용예정업무의특성상학력과자격이반드시요구되는경우라면입사지원자의동의없이수집할수있습니다. 그러나단순노무직과같이학력이나자격증이요구되지않는직무라면관련개인정보는채용계약체결을위한필수적정보라고할수없습니다. 관련법률 : 개인정보보호법제15조 ( 개인정보의수집 이용 ) 제1항제4호, 위반시 5천만원이하의과태료 - 30 -
Q1-5 입사지원자가제출한개인정보의진위확인이필요합니다. 어떻게하면될까요? 답변 ) 정당한기관에서발급한증명서를제공받아서확인하시면됩니다. 증명서의진위확인이필요하다면해당증명서발급기관에발급번호 ( 또는코드번호등 ) 확인을통하여증명서의진위를확인하면됩니다. 발급번호 ( 또는코드번호등 ) 를통한증명서의진위확인은개인정보처리에해당하지않으므로정보주체의동의가필요없습니다. 관련법률 : 개인정보보호법제26조 ( 업무위탁에따른개인정보의처리제한 ) 제1항, 위반시 1천만원이하의과태료 Q1-6 입사지원자의논문, 저서등의정보를인터넷을통해수집하려고하는데동의가필요한가요? 답변 ) 불특정다수가열람할수있는사이트등에공개된개인정보의수집 이용에 대해서는동의를받을필요없습니다. 언론, 온라인도서관, 인물DB 등정당한절차에따라개인정보를공개하는웹사이트에서개인정보를수집 이용하는것은동의가필요하지않습니다. 그경우에도해킹등부당한방법으로수집하여공개한개인정보임이확실시되는경우에는수집 이용할수없습니다. 관련규정 : 표준개인정보보호지침제6조 ( 개인정보의수집 ) 제4항개인정보보호법제59조 ( 금지행위 ) 제2호, 제3호, 위반시 5년이하징역또는 5천만원이하벌금 Q1-7 상시채용시스템운영을위해탈락자의개인정보를계속보존해야하는데어떻게해야하나요? 답변 ) 입사지원서접수시지원자에게보존기간및목적을알리고별도의동의를 받아야합니다. 사용자는채용과정이종료되면탈락자의개인정보를지체없이 (5일이내 ) 삭제해야하는것이원칙입니다. 다만, 인재 DB 등을구축하여상시채용을하는경우, 필요한기간을명시하고정보주체의별도동의를받아보관할수있습니다. 이경우에도, 정보주체가삭제를요구하는경우에는지체없이삭제하여야합니다. 관련법률 : 개인정보보호법제15조 ( 개인정보의수집 이용 ) 제1항, 위반시 5천만원이하의과태료 / 같은법제21조 ( 개인정보의파기 ) 제1항, 위반시 3천만원이하의과태료 - 31 -
2. 채용결정단계 채용준비 채용결정 고용유지 고용종료 < 주요점검사항 > 법령준수를위한개인정보의수집 : 근로자명부, 임금대장등 근로계약의체결 이행을위해반드시필요한근로자개인정보는동의없이수집 : 인력배치, 후생복지등을위한개인정보등 개인정보처리동의가반드시필요한사항에대해동의확보 : 근로계약의체결 이행을위해제 3 자제공이필요한경우등 가. 법령준수를위한근로자개인정보의수집 근로기준법등의법령상의무준수를위하여근로자개인정보를수집 이용할경우근로자의동의없이처리 - 근로계약서, 근로자명부, 임금대장등을작성하기위한개인정보수집이그대표적인예시임 < 법령에따른근로자의개인정보수집예시 > 수집항목 법령근거 근로자명부 성명, 생년월일, 주소, 전화번호, 부양가족, 이력, 종사하는업무의종류, 고용또는고용갱신연월일, 계약기간을정한경우그기간, 근로계약조건, 그밖의고용에관한사항, 해고, 퇴직또는사망한경우에는그연월일과사유, 금품청산여부, 그밖에필요한사항 ( 교육, 건강휴직등 ) 근로기준법제 41 조, 시행령제 20 조, 시행규칙별지제 16 호서식 임금대장 성명, 생년월일, 기능및자격, 고용연월일, 종사하는업무, 임금및가족수당의계산기초가되는사항, 근로일수, 근로시간수, 연장근로, 야간근로또는휴일근로를시킨경우에는그시간수, 기본급, 수당, 그밖의임금의내역별금액, 임금의일부를공제한경우에는그금액등 근로기준법제 48 조, 시행령제 27 조, 시행규칙별지제 17 호서식 고유식별정보의수집 - 고유식별정보의처리는원칙적으로금지되나, 소득세법에따른연말정산등과같이법령상의무준수를위하여불가피한경우근로자및근로자의가족등의동의없이처리 - 32 -
나. 근로계약의체결 이행을위해반드시필요한근로자정보의수집 근로계약서에는본인확인을위해필요한최소한의개인정보 ( 주소, 연락처, 성명 ) 만기록하고주민번호등불필요한개인정보처리금지 * 고용노동부가제시한표준근로계약서는부록참조 인사업무 ( 근무성적평가 연봉계약 인사발령 교육훈련 복리후생 ) 등근로계약이행을위해반드시필요한개인정보처리는근로자동의없이수집 이용 - 가족에대한복리후생제공을위하여가족개인정보를수집 이용하는경우에가족의동의불필요 * 사용자 ( 개인정보처리자 ) 는근로복지기본법제5조에따라회사는자녀학비지원, 직계존속건강진단, 주택지원등근로자에대한복지를제공해야하므로, 이를위하여가족의개인정보를수집 이용하는것은개인정보보호법제15조제 1항제2호에따른법령상의무수행을위한경우에해당 * 가족관계및연령확인등을위한증명서제출시가족의주민등록번호뒷자리를가린후, 관련서류를발급받도록함 다. 개인정보처리동의가반드시필요한사항에대한동의 업무수행을위해반드시개인정보처리가필요한경우로서그처리에대한동의가필요한경우에는최초근로계약체결시동의를받을것 - 근로자개인정보의제3자제공이반드시필요한경우 * 예시 ) 여행사직원정보 ( 연락처등 ) 의항공사제공, 용역발주회사등에대한근로자 ( 컨설턴트및프로젝트담당자 ) 개인정보제공, 계열사간인사교류를위한인사정보의제공등 - 회사운영홈페이지등을통해근로자정보의공개가필요한경우 * 예시 ) 영업사원연락처등의공개, 고객만족도제고를위한담당자업무및연락처공개등 개인정보처리동의는사규 ( 또는취업규칙 ) 등에관련내용을정리하여취업규칙 ( 또는사규 ) 준수동의를받거나, 별도의동의서를통한동의등다양한방법을활용 - 단, 사규를통하여동의를대체하는개인정보처리내용은업무수행에필수불가결한것에한하며, - 33 -
- 개인정보처리에관하여포괄적동의가되지않도록구체적목적 단위별로작성 < 계약서작성시유의사항 > 필요최소한의개인정보만수집 - 근로계약체결및이행을위한필수적정보는동의없이수집가능 * 단, 주민등록번호이외의고유식별정보및민감정보는별도동의필요 * 주민등록번호는법령의근거하여처리를허용하는경우에한하여수집할수있음. - 근로자명부, 임금대장작성등관계법령준수를위해서는동의없이개인정보수집가능 * 고유식별정보수집도동의필요없음 업무의특성상반드시필요한개인정보제 3 자제공및공개는사내규정또는동의서등에정리하여안내하고동의확보 - 34 -
FAQ 근로계약체결 Q2 인사, 급여등을위해재직중인직원의개인정보를수집하고이용하는경우에도동의를받아야하나요? 답변 ) 동의없이수집 이용할수있습니다. 그러나범죄경력등민감정보를수집하여 이용할때에는별도동의를받아야합니다. 개인정보보호법제15조제1항제4호에따라계약의이행을위해필요한경우에는정보주체의동의없이도개인정보를수집 이용할수있습니다. 회사는직원과의근로계약을이행하기위하여임금을지급해야하는경우직원의이름, 은행계좌번호등임금지급을위하여필요한개인정보를수집 이용할수있으며이때직원의동의는필요하지않습니다. 직무의특성으로인해법령에관련규정이있는경우 ( 아동 청소년의성보호에관한법률제56조제3항에의한강사의범죄정보수집등 ) 에는그에따라처리하셔야합니다. 관련법률 : 개인정보보호법제 15 조 ( 개인정보의수집 이용 ) 제 1 항, 위반시 5 천만원이하의과태료 Q2-1 직원의주민등록번호를수집하고이용할경우, 별도의동의를받아야되나요? 답변 ) 주민등록번호를수집 이용하기위해서는 1 법령에서구체적으로주민등록번호의처리를요구하거나허용한경우, 2 정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우, 3주민등록번호처리가불가피한경우로서행정자치부령으로정하는경우가운데어느하나에해당하여야하며, 어느하나에해당하지않는경우에는수집 이용할수없습니다. 사용자 ( 개인정보처리자 ) 는법에따라산재보험, 건강보험, 고용보험, 국민연금을처리해야할의무가있고, 고용보험및산업재해보상보험의보험료징수등에관한법률, 국민연금법, 건강보험법에따라직원의이름, 주민등록번호, 급여내역등을근로복지공단, 국민연금공단, 국민건강보험공단등에제공해야하며이때역시직원의동의는필요하지않습니다. 관련법률 : 개인정보보호법제24조의2( 주민등록번호의의처리제한 ) 제1항, 위반시 3천만원이하의과태료 - 35 -
Q2-2 재직중인직원의종교, 범죄관련정보등을수집하고이용할경우, 별도동의를받아야하나요? 답변 ) 재직중인직원으로부터별도의동의를받아야합니다. 기업의특성에따라종교, 범죄경력자료등의민감정보를처리하고자하는경우에는별도동의를받아야합니다. 관련법률 : 개인정보보호법제23조 ( 민감정보의처리제한 ), 위반시 5년이하징역또는 5천만원이하벌금 Q2-3 근로자의건강정보를수집하고이용할경우, 별도동의를받아야하나요? 답변 ) 산업안전보건법이나진폐의예방과진폐근로자의보호등에관한법등관련법령에따라직원의건강보호유지목적으로사용할경우별도의동의가필요없습니다. 건강정보는민감정보로서그처리를허용요건가운데어느하나에해당하는경우에한하여수집 이용할수있으므로, 해당근로자의별도동의를받아건강정보를수집 이용할수있습니다. 관련법률 : 산업안전보건법제 43 조 ( 건강진단 ) 진폐의예방과진폐근로자의보호등에관한법률제 16 조 ( 건강진단결과의제출등 ) 개인정보보호법 제 23 조 ( 민감정보의처리제한 ), 위반시 5 년이하징역또는 5 천만원이하벌금 Q2-4 근로자의가족개인정보를확인하여적절한복지혜택을제공하고자합니다. 이경우에는근로자가족의동의를받아야하나요? 답변 ) 가족수당제공, 자녀학자금지원등을통해근로자에게복리후생을제공하는것은법령상의무를수행하기위한것으로가족으로부터개인정보수집에대한동의를받을필요없습니다. 이경우반드시복지제공에필요한최소한의정보만을수집하여야합니다. 다만, 주민번호를제외한고유식별정보를수집하게되는경우에는가족으로부터별도의동의를받아야하며, 주민등록번호를수집할때에는법령에구체적으로근거가있어야합니다. 관련법률 : 개인정보보호법제15조 ( 개인정보의수집 이용 ) 제1항제4호개인정보보호법제24조 ( 고유식별정보의처리제한 ) 제1항, 위반시 5년이하징역또는 5천만원이하벌금개인정보보호법제24조의 2( 주민등록번호의의처리제한 ) 제1항, 위반시 3천만원이하의과태료 - 36 -
3. 고용유지단계 채용준비 채용결정 고용유지 고용종료 < 주요점검사항 > 인력관리에따른개인정보처리에근로자동의필요여부확인 - 인력배치및이동, 인사평가, 보수 후생복지, 교육훈련등 인사정보의관리기준마련 - 보관 파기, 제공 위탁, 열람권보장등 가. 인력관리 인력배치및이동 인력배치및이동 ( 전보, 파견, 휴직등 ) 과같이근로계약이행을위한필수적인력활용에필요한개인정보 ( 근로자의거주지, 전문성, 경력등 ) 는근로자의동의없이활용가능 - 다만수집 이용하는개인정보는필요최소한으로하여야하며, 이경우에도민감정보및고유식별정보 ( 주민등록번호제외 ) 는별도의동의필요 * 예시 ) 출산휴가등건강, 성생활등민감정보를직접유추가능한정보 전보, 승진등의인사발령사항의외부공개가필요할경우근로계약체결시동의확보 ( 사내규정, 동의서등을통해개인정보처리동의 ) * 단, 징계처분, 해고등불이익처분은원칙적으로비공개하며, 불가피한경우근로자의동의를받아공개 * 직원윤리교육등을위한징계사례전파는개인식별을불가능하게하여실시 인사평가 직무수행성과와관련된개인정보를수집 생성 이용하는것으로서근로계약의이행및유지를위해불가피하므로동의불필요 근로자가평가정보에대해열람을요구할경우, - 객관적인성과 실적등의정보는특별한사유가없는한공개 - 37 -
- 주관적인평가정보의경우근로계약조건및취업규칙등을근거로평가결과를제한적으로공개하거나, 공개를거부할수있음 * 인사고과 연봉정보등의공개는기업및다른근로자의재산과그밖의이익을침해할우려가있어열람의제한또는거절가능 ( 개인정보보호법제35조제4항 ) 보수 후생복지 급여, 성과급, 복지포인트등은개인정보에해당되므로노동조합, 공공기관등제3자제공이필요한경우본인의동의필요 직원상품할인 공동구매등을위하여계열사등다른회사에근로자정보를제공하고자하는경우동의필요 통계작성및학술연구등의목적을위해연구소, 공공기관등에임직원개인정보 ( 근속기간, 주요업무, 연봉등 ) 를제공하는경우특정개인을알아볼수없도록처리하여제공 고용보험및산업재해보상보험의보험료징수등에관한법률에따라근로복지공단, 국민연금공단, 국민건강보험공단등에임직원의급여내역을제공하는것은해당근로자의동의없이제공가능 교육훈련 외부교육기관에근로자교육위탁시근로자개인정보처리업무도위탁하는경우문서 ( 표준개인정보처리위탁계약서 ) 에의하여야하며, 손해배상책임에대하여는수탁자를사업자의소속직원으로간주 * 위탁업무내용과수탁자를정보주체가언제든지쉽게확인할수있도록내부게시판, 인터넷홈페이지내부망등을통해공개 나. 인사정보관리 보관 파기 근로자개인정보는관리적 기술적 물리적보호조치를통하여안전하게보관하여야함 - 내부관리계획수립 시행, 개인정보보호책임자지정등관련업무 - 38 -
처리에대해서는 개인정보의안전한관리 참고 - 공정하고합리적인사운영을위하여근로자개인정보의정확성및최신성을확보할수있도록수시열람 정정권보장등의대책마련 사용자는개인정보처리방침등을근로자가쉽게볼수있도록사내게시판, 사내홍보지, 인터넷홈페이지내부망등을통하여공개해야함 법령에따라수집한개인정보로서보유기간이지난개인정보및수집 이용목적이달성된개인정보는지체없이파기 - 재직자의건강진단결과표및진단결과는 5년간보관후파기 ( 산업안전보건법제43조제3 항, 시행규칙제105조제3 항, 제107조 ) * 단, 고용노동부장관이정하여고시하는발암성확인물질을취급하는근로자의건강검진결과서류또는전산입력자료는 30년간보관 ( 산업안전보건법시행규칙제107조단서 ) - 연말정산을위해근로자및근로자가족의개인정보를동의없이수집 이용할수있으며 ( 소득세법제140 조, 시행령제106 조, 제108 조, 제113 조내지제114조, 시행규칙제58조및서식37 등 ), 연말정산목적으로수집한자료는해당소득세등의법정신고기한이지난날부터 5년간보존후파기 ( 국세기본법제85조의3 제2항 ) - 복리후생의제공등목적으로수집한근로자및근로자가족개인정보는복리후생목적달성후파기 제공 위탁 근로자개인정보의목적외제3자제공은근로자의별도동의또는법령상의무준수를위한경우등으로한정 - 별도동의가필요한경우 기업인수합병여부판단에필요한임직원의개인정보제공 * 단, 개인정보보호법제15조제1항제6호에따른수집은가능하므로, 홈페이지등에공개된정보등을통한수집은가능 상품할인 공동구매등을위하여다른회사와제휴할경우 카드사, 보험회사등에근로자개인정보를제공할경우 - 법령등에규정이명확히있어법령상의무준수에해당하는경우 - 39 -
연말정산을위하여근로자및근로자가족정보등의국세청제공과같이법령에따른의무사항으로명시되어있거나준수하지않을경우벌칙이수반되는내용 - 단, 수사기관은형사소송법제115 조의규정에따라수색영장을발부받아서, 법원은동법제109조에따라동의없이수색가능 근로자개인정보의처리위탁시주의사항 - 연말정산 교육훈련 퇴직급여지급등을위한근로자개인정보처리위탁은반드시문서 ( 표준개인정보처리위탁계약서 ) 에의하여야하며, - 손해배상책임에대하여는수탁자를사업자의소속직원으로간주 열람 근로자의인사정보등은법제35조제3항에따라열람권을보장하는것이원칙 - 다만, 인사고과 연봉정보등의산출근거자료공개가기업의질서유지등에영향을미쳐회사및다른근로자의재산과그밖의이익을침해할우려가있는경우열람의제한또는거절가능 - 40 -
FAQ 고용유지단계 Q3 인사관리시스템과인사담당자의 PC를안전하게관리하기위해취해야할조치는무엇인가요? 답변 ) 비밀번호설정, 백신소프트웨어설치, 방화벽가능, 암호화기능등을적용해야 합니다. 관계자 ( 관리자, 담당직원 ) 만컴퓨터를이용할수있도록비밀번호를설정하세요. - 2자리 ( 영문 / 숫자등 ) 조합은 10자리이상으로 - 3자리 ( 영문 / 숫자 / 특수문자 ) 조합은 8자리이상으로하세요. - 비밀번호는적어도 6개월에 1번이상변경하세요. 비밀번호설정은컴퓨터의 제어판 사용자계정 암호변경 에서가능 백신소프트웨어를설치하고주기적으로 ( 매일 ) 업데이트하세요. 컴퓨터의윈도우즈 (Windows) 등운영체제에서지원하는방화벽 (Firewall) 기능을적용하세요. 윈도우즈방화벽기능은 제어판 시스템및보안 Windows 방화벽 에서적용가능 회원의개인정보가들어있는파일은안전한암호 S/W를이용해암호화하세요. - 주민등록번호를저장하여관리하는경우, 상용암호화소프트웨어또는암호화알고리즘을사용하여저장하세요. 기타참고사항 문의및연락처 : 국번없이 118 참고자료 : www.privacy.go.kr 참고 관련법률 : 개인정보보호법제29조 ( 안전조치의무 ) 위반하여시 3천만원이하의과태료, 분실 / 도난 / 유출 / 위조 / 변조등발생시 2년이하징역또는 2천만원이하벌금 Q3-1 위탁교육등을위해외부업체에직원의개인정보를제공하려고하는데, 어떻게해야하나요? 답변 ) 업무처리의뢰 ( 업무위탁 ) 에관한사항은문서 ( 표준개인정보처리업무위탁계약서 ) 로작성하세요. 개인정보를제공받은수탁업체와업무의내용을내부게시판, 인터넷홈페이지내부망등을통해직원들에게공개하세요. 직원정보를제공받은수탁업체가개인정보를잘관리할수있도록감독하세요. 관련법률 : 개인정보보호법제 26 조 ( 업무위탁에따른개인정보의처리제한 ) 제 1 항, 제 2 항위반시 1 천 만원이하의과태료, 제 3 항위반시 3 천만원이하과태료 - 41 -
Q3-2 개인정보업무처리를외부업체에위탁했는데그업체의과실로손해가발생한경우손해배상책임은누구에게있나요? 답변 ) 위탁자와수탁자모두에게있습니다. 개인정보보호법제26조제6항은손해배상책임에대해서수탁자를위탁자의소속직원으로본다고규정하여위탁자에게도사용자로서관리책임을부과하고있습니다. - 업무를위탁한사업자는위탁받은사업자가개인정보보호규정을준수하도록관리하고감독할의무가있습니다. 손해를입은정보주체 ( 근로자등 ) 는위탁자나수탁자중어느한쪽에손해배상을청구할수있고, 위탁자가배상한경우에는수탁자에게구상권을행사할수있습니다. 관련법률 : 개인정보보호법제 26 조 ( 업무위탁에따른개인정보의처리제한 ) 제 6 항 Q3-3 개인정보처리업무를위탁할때사용하는계약서가따로있나요? 답변 ) 형식은정해져있지않지만아래사항이계약서에반드시포함되어야합니다. 가능한표준개인정보처리위탁계약서를사용하시기바랍니다. 1 위탁업무수행목적외개인정보의처리금지에관한사항 2 개인정보의기술적 관리적보호조치에관한사항 3 위탁업무의목적및범위 4 재위탁제한에관한사항 5 개인정보에대한접근제한등안전성확보조치에관한사항 6 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 7 수탁자가준수하여야할의무를위반한경우의손해배상등책임에관한사항 관련법률 : 개인정보보호법제26조 ( 업무위탁에따른개인정보의처리제한 ) 제1항, 위반시 1천만원이하의과태료 Q3-4 수기형태의인사기록은어떻게보관해야하나요? 답변 ) 수기로된인사기록은잠금장치가마련된별도의안전한장소에보관하여야 하고, 접근통제등안전성을확보하는조치를하여야합니다. 관련법률 : 개인정보보호법제 29 조 ( 안전조치의무 ) 위반하시 2 천만원이하의과태료 - 42 -
Q3-5 중소영세기업은직원의개인정보보호를위하여어떠한안전조치를하여야하나요? 답변 ) 수기로주민등록번호가포함된직원정보를관리하는경우시건장치및접근제한등을통한안전조치를하시면되고, 업무용 PC로직원정보를관리하시는경우다음과같은안전조치를하시면됩니다. 상시근로자수가 10명이상인사업자는개인정보의안전성확보조치를하여야합니다. 업무용 PC에비밀번호설정 - 비밀번호는 2자리 ( 영문 / 숫자등 ) 조합은 10자리이상으로, 3자리 ( 영문 / 숫자 / 특수문자 ) 조합은 8자리이상으로하시고, 적어도 6개월에 1번이상변경하세요. 비밀번호설정은컴퓨터의 제어판 사용자계정 암호변경 에서가능 업무용 PC의운영체제 ( 윈도우등 ) 에제공되는침입차단기능 ( 방화벽등 ) 활용 악성프로그램차단을위한백신프로그램설치 기타참고사항 문의및연락처 : 국번없이 118 참고자료 : www.privacy.go.kr 참고 관련법률 : 개인정보보호법제29조 ( 안전조치의무 ) 위반하시 2천만원이하의과태료 - 43 -
4. 고용종료단계 채용준비 채용결정 고용유지 고용종료 < 주요점검사항 > 퇴직근로자개인정보의열람권보장 퇴직근로자개인정보의제 3 자제공 퇴직근로자친목모임을위한개인정보수집 제공 가. 퇴직근로자의개인정보파기및경력증명서발급 퇴직근로자의각종개인정보는퇴직후경력증명및근로계약에관한정보를제외하고지체없이삭제 - 근로자의경력증명등에관한정보는근로자퇴직후 3년간별도보관 ( 근로기준법제39조, 및동법시행령제19조 ) - 퇴직근로자경력증명을위하여 3년이상경력증명정보를보관하고자하는경우, 퇴직시점에퇴직근로자의동의를받아보관 * 근무지이탈등의사유로퇴직하는경우동의를얻기힘들수있으므로, 입사시또는취업규칙등에안내하고동의받아두는방법활용가능 보관기간이종료된개인정보는복구또는재생되지않도록파기 * 파기는보유기간의종료일로부터 5일, 개인정보의처리목적달성으로그개인정보가불필요하게되었을때에는개인정보의처리가불필요한것으로인정되는날로부터 5일이내에개인정보를파기하여야함 나. 퇴직근로자의개인정보제공 퇴직근로자의개인정보제공요구에대하여는다른법령에특별한규정이없는한해당근로자의동의를받은후제공 순수친목단체로서퇴직근로자모임은동의없이개인정보를수집할수있으나회사가제공하고자할경우정보주체의동의필요 - 44 -
FAQ 고용종료단계 Q5 퇴사한직원의개인정보는언제파기해야하나요? 답변 ) 퇴사후 3 년이지나고, 보유기간이종료된후 5 일이내에파기하세요. 근로기준법에서퇴직근로자의사용증명서청구권행사기간을 3 년으로하고있습니다. 따라서사용증명서발급을위한퇴직근로자개인정보보존연한은최소 3 년입니다. 단, 경력증명등퇴직근로자의사용증명서발급을위해 3 년이상보관할필요가있는경우, 근로자에게동의를받아서보관하면됩니다. 관련법률 : 개인정보보호법제 21 조 ( 개인정보의파기 ), 위반시 3 천만원이하의과태료근로기준법제 39 조 ( 사용증명서 ), 근로기준법시행령제 19 조 ( 사용증명서의청구 ) Q5-1 개인정보파기는어떻게해야하나요? 답변 ) 개인정보가복구또는재생되지않도록해야합니다. 컴퓨터에저장된파일형태일경우복원이불가능한상태로영구삭제하시고, 기록물, 인쇄물, 서면등의형태일경우파쇄또는소각해야합니다. 개인정보의일부만을파기시전자적파일형태일경우개인정보를삭제후복구및재생되지않도록관리및감독을하여야하고, 기록물등의형태는해당부분을마스킹, 천공등으로삭제하여야합니다. 관련법률 : 개인정보보호법제 21 조 ( 개인정보의파기 ) 제 1 항, 위반시 3 천만원이하의과태료개인정보의안전성확보조치기준 Q5-2 이법시행전부터보관하고있던퇴직자의개인정보에대하여보관에관한동의를받거나파기하여야하나요? 답변 ) 그렇지않습니다. 경력증명등을위한목적으로보관 이용하고있던퇴직근로자의개인정보는해당목적으로만사용하는경우에는동의없이파기하지않고이용하실수있습니다. 다만, 개인정보보호법시행이후에는퇴직근로자의개인정보를보관하기위해서는해당퇴직근로자의동의를받아야합니다. 단, 주민등록번호등고유식별정보에관하여는개인정보보호법제 29 조에따라안전조치를해야할의무가있습니다. 퇴직근로자의개인정보를이용하여마케팅을하는등원래의보유목적과다른용도로이용하시고자하는경우에는별도동의를받으셔야합니다. 관련법률 : 표준개인정보보호지침제 67 조 ( 처리중인개인정보에관한경과조치 ) - 45 -
< 참고 1> 표준양식 신입사원채용입사지원서 ( 예시 ) 성명 지원부문 사진 기본사항 생년월일전화번호이메일 성별 주소 기간학교전공졸업여부 학력 활동사항 기간내용 ( 인턴, 아르바이트, 봉사활동 ) 기관 단체 자격증명취득일인증기관 자격 시험명점수 / 급취득일 어학 종류기관수상일 상훈 기타 보훈대상 ( 우대 ) 장애인 ( 우대 ) 기타우대사항 * 기본사항은서류전형을위한필수정보이므로반드시기재하시기바랍니다. ( 채용직무, 선호인재상등에따라필수정보를달리지정할수있음 ) * 나머지항목들은채용참고자료이므로선택적으로작성하실수있습니다. - 46 -
경력사원채용입사지원서 ( 예시 ) 성명 지원부문 사진 기본사항 생년월일전화번호이메일 성별 주소 기간학교전공졸업여부 학력 기간근무처직위 경력 자격증명취득일인증기관 자격 시험명점수 / 급취득일 어학 종류기관수상일 상훈 기타 보훈대상 ( 우대 ) 장애인 ( 우대 ) 기타우대사항 * 기본사항, 경력은서류전형을위한필수정보이므로반드시기재하시기바랍니다. ( 채용직무, 선호인재상등에따라필수정보를달리지정할수있음 ) * 나머지항목들은채용참고자료이므로선택적으로작성하실수있습니다. - 47 -
업무수행 ( 위탁 ) 업체에대한직원정보제공동의서 ( 예시 ) 는개인정보보호법등관련법령상의개인정보보호규정을준수하며근로자의개인정보보호에최선을다하고있습니다. 회사는개인정보보호법제17조에근거하여, 다음과같이회사업무의수행에반드시필요한범위내에서직원의개인정보를제공하는데동의를받고자합니다. 1. 개인정보를제공받는자 : 업무관련프로젝트발주기관또는업체명기재 2. 개인정보를제공받는자의개인정보이용목적 : 업무관련프로젝트발주수행적합성여부판단 ( 예시 ) 3. 제공하는개인정보의항목 : 성명, 학력, 주요경력, 연락처 ( 이메일및사무실전화 ) * 필요최소한으로작성 4. 동의를거부할권리안내 : 귀하 ( 근로자 ) 는위와같이개인정보를제공하는데대한동의를거부할권리가있습니다. 그러나동의를거부하실경우관련프로젝트에참여하실수없으며, 그에따른 조치가있을수있으니참고하시기바랍니다. 년월일근로자성명 : ( 인또는서명 ) *** 회사귀중 - 48 -
본표준개인정보처리위탁계약서는 개인정보보호법 제 26 조제 1 항에따라위탁계약에있어개인정보처리에관하여문서로정하여야하는최소한의사항을표준적으로제시한것으로서, 위탁계약이나위탁업무의내용등에따라세부적인내용은달라질수있습니다. 개인정보처리업무를위탁하거나위탁업무에개인정보처리가포함된경우에는본표준개인정보처리위탁계약서의내용을위탁계약서에첨부하거나반영하여사용하실수있습니다. 표준개인정보처리위탁계약서 ( 안 ) OOO( 이하 갑 이라한다 ) 과 ( 이하 을 이라한다 ) 는 갑 의개인정보 처리업무를 을 에게위탁함에있어다음과같은내용으로본업무위탁계약을 체결한다. 제1조 ( 목적 ) 이계약은 갑 이개인정보처리업무를 을 에게위탁하고, 을 은이를승낙하여 을 의책임아래성실하게업무를완성하도록하는데필요한사항을정함을목적으로한다. 제2조 ( 용어의정의 ) 본계약에서별도로정의되지아니한용어는 개인정보보호법 시행령및시행규칙, 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7 호 ) 및 표준개인정보보호지침 ( 행정안전부고시제2011-45호 ) 에서정의된바에따른다. 제3조 ( 위탁업무의목적및범위 ) 을 은계약이정하는바에따라 ( ) 목적으로다음과같은개인정보처리업무를수행한다. 2) 1. 2. 제4조 ( 재위탁제한 ) 1 을 은 갑 의사전승낙을얻은경우를제외하고 갑 과의계약상의권리와의무의전부또는일부를제3자에게양도하거나재위탁할수없다. 2) 각호의업무예시 : 고객만족도조사업무, 회원가입및운영업무, 사은품배송을 위한이름, 주소, 연락처처리등 - 49 -
2 을 이재위탁받은수탁회사를선임한경우 을 은당해재위탁계약서와함께그사실을즉시 갑 에통보하여야한다. 제5조 ( 개인정보의안전성확보조치 ) 을 은 개인정보보호법 제24 조제3 항및제29조, 동법시행령제21조및제30조, 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 에따라개인정보의안전성확보에필요한관리적 기술적조치를취하여야한다. 제6조 ( 개인정보의처리제한 ) 1 을 은계약기간은물론계약종료후에도위탁업무수행목적범위를넘어개인정보를이용하거나이를제3자에게제공또는누설하여서는안된다. 2 을 은계약이해지되거나또는계약기간이만료된경우위탁업무와관련하여보유하고있는개인정보를 개인정보보호법 시행령제16조및 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7 호 ) 에따라즉시파기하거나 갑 에게반납하여야한다. 3 제2항에따라 을 이개인정보를파기한경우지체없이 갑 에게그결과를통보하여야한다. 제7조 ( 수탁자에대한관리 감독등 ) 1 갑 은 을 에대하여다음각호의사항을관리하도록요구할수있으며, 을 은특별한사유가없는한이에응하여야한다. 1. 개인정보의처리현황 2. 개인정보의접근또는접속현황 3. 개인정보접근또는접속대상자 4. 목적외이용 제공및재위탁금지준수여부 5. 암호화등안전성확보조치이행여부 6. 그밖에개인정보의보호를위하여필요한사항 2 갑 은 을 에대하여제1항각호의사항에대한실태를점검하여시정을요구할수있으며, 을 은특별한사유가없는한이행하여야한다. 3 갑 은처리위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지아니하도록 1년에 ( ) 회 을 을교육할수있으며, 을 은이에응하여야한다. 3) 3) 개인정보안전성확보조치기준고시 ( 행정자치부고시제 2014-7 호 ) 및 개인정보보호법 제 26 조에따라개인정보처리자및취급자는개인정보보호에관한교육을의무적으로시행하 여야한다. - 50 -
4 제1항에따른교육의시기와방법등에대해서는 갑 은 을 과협의하여시행한다. 제8조 ( 손해배상 ) 1 을 또는 을 의임직원기타 을 의수탁자가이계약에의하여위탁또는재위탁받은업무를수행함에있어이계약에따른의무를위반하거나 을 또는 을 의임직원기타 을 의수탁자의귀책사유로인하여이계약이해지되어 갑 또는개인정보주체기타제3자에게손해가발생한경우 을 은그손해를배상하여야한다. 2 제1항과관련하여개인정보주체기타제3자에게발생한손해에대하여 갑 이전부또는일부를배상한때에는 갑 은이를 을 에게구상할수있다. 본계약의내용을증명하기위하여계약서 2부를작성하고, 갑 과 을 이서명또는날인한후각 1부씩보관한다. 갑 시 구 동 번지 성명 : ( 인 ) 을 시 구 동 번지 성명 : ( 인 ) - 51 -
표준근로계약서 ( 이하 사업주 라함 ) 과 ( 와 ) ( 이하 근로자 라함 ) 은다음과같이근로계약을체결한다. 1. 근로계약기간 : 년월일부터년월일까지 근로계약기간을정하지않는경우에는 근로개시일 만기재 2. 근무장소 : 3. 업무의내용 : 4. 소정근로시간 : 시 분부터 시 분까지 ( 휴게시간 : 시분 ~ 시 분 ) 5. 근무일 / 휴일 : 매주 일 ( 또는매일단위 ) 근무, 주휴일매주 요일 6. 임금 - 월 ( 일, 시간 ) 급 : 원 - 상여금 : 있음 ( ) 원, 없음 ( ) - 기타급여 ( 제수당등 ) : 있음 ( ), 없음 ( ) 원, 원 원, 원 - 임금지급일 : 매월 ( 매주또는매일 ) 일 ( 휴일의경우는전일지급 ) - 지급방법 : 근로자에게직접지급 ( ), 근로자명의예금통장에입금 ( ) 7. 연차유급휴가 - 연차유급휴가는근로기준법에서정하는바에따라부여함 8. 사회보험적용여부 ( 해당란에체크 ) 고용보험 산재보험 국민연금 건강보험 9. 근로계약서교부 - 사업주는근로계약을체결함과동시에본계약서를사본하여근로자의교부요 구와관계없이근로자에게교부함 ( 근로기준법제17조이행 ) 10. 기타 - 이계약에정함이없는사항은근로기준법령에의함 년월일 ( 사업주 ) 사업체명 : ( 전화 : ) 주소 : 대표자 : ( 서명 ) ( 근로자 ) 주소 : 연락처 : 성명 : ( 서명 ) - 52 -
근로자명부 1 성명 2 생년월일 3 주소 ( 전화 : ) 4 부양가족 6 기능및자격 명 5 종사업무 10 해고일년월일 이 력 7최종학력 퇴 11퇴직일 년 월 일 8경력 직 12사유 9 병역 14 고용일 ( 계약기간 ) 13 금품청산등 년월일 ( ) 15 근로계약갱신일년월일 <16> 근로계약조건 <17> 특기사항 ( 교육, 건강, 휴직등 ) - 53 -
임금대장관리번호 : 성명생년월일기능및자격 고용연월일종사업무임금계산기초사항가족수당계산기초사항부양가족기본시간급기본일급기본월급 1인당지급액계산시간수 구분근로일수월별 근로 시간 수 연장근로시간수 휴일근 로시간 수 야간근 로시간 수 기본급 가족 수당 여러가지수당 연장근 휴일근 야간근 로수당 로수당 로수당 현금 그밖의임금현물품명수량평가액 총액공제액영수액영수인 - 54 -
인사기록카드 ( 예시 ) 사번 신규, 경력채용 사진 기본사항 성명전화번호이메일 채용구분 공채, 수시채용채용부문채용직급 주소 입사일 기간학교전공 관계생년월일동거여부 학력 - 55 - 기간근무처직위 가족사항 경력 시험명점수 / 급취득일 자격면허 자격증명취득일인증기관 어학능력 * 기본사항, 학력, 경력, 자격, 어학능력은인사관리를위한필수정보로활용됩니다. * 가족사항은자녀학자금지원등후생복지제공을위한근거자료로활용되며, 선택적으로작성하실수있습니다.
인사 ( 전보, 승진, 휴직, 퇴직등 ) 승급 ( 보수등급 ) 연월일발령사항연월일발령사항 - 56 - 교육훈련 상훈 기간과정명연월일내용 징계 연월일종류사유
인사 노무등의개인정보보호를위한주요조치사항 ( 요약 ) 단계수집 이용제 3 자제공파기 채용준비채용결정 - 개인정보최소수집원칙에따라 채용전형계획수립 * 채용전형에불필요한주민등록번호 등고유식별정보및민감정보는 원칙적으로수집불가 - 신체검사시입사지원자의동의를 받아최소한건강정보수집 채용예정업무특성에따라수집 정보종류및범위결정필요 - 근로자명부 임금대장작성등 법령상의무준수를위한지원자 개인정보수집시근로자등의 동의불필요 - 법령에구체적근거없는고유식별 정보수집불가 - 입사지원자의동의또는법령근거가있는경우에만가능 - 채용전형위탁시, 업무내용및수탁자를인터넷홈페이지공개 ( 게시 ) 필요 * 채용대행업체채용과정위탁시철저한관리감독필요 - 입사지원자의동의또는법령근거가있는경우에만가능 - 동의를받을경우제공받는자, 제공항목등을안내하고동의를받아야함 - 이의신청절차등채용전형종료후 5일이내파기 - 인재수시선발등을위한탈락자개인정보보관및이용이필요한경우동의를받아야함 * 보관기간을정하여목적, 기간등을명시하여동의필요 고용유지 - 인력배치등근로계약이행에 반드시필요한개인정보수집시 동의불필요 - 인사평가관련개인정보의경우 동의불필요 - 연말정산등법령상의무준수를 - 입사지원자의동의또는법령근거가있는경우에만가능 - 교육훈련등근로자개인정보처리위탁시반드시위탁계약을문서로작성 - 위탁업무내용및개인정보처리 - 고용유지에필요하지않은개인정보는필요하지않게된날부터 5일이내파기 * 단, 회계자료등다른법에별도보관기간이 위한주민등록번호동의없이수집 가능 업무수탁자를인터넷홈페이지공개 ( 게시 ) 필요 명시된경우해당기간준수 단계정보주체열람등파기 고용 종료 - 퇴직근로자개인정보제공요구시다른법령에특별규정이없는한근로자동의후제공필요 회사가퇴직자친목모임에 ( 퇴직 ) 근로자등의개인정보를제공할경우정보주체의동의를받은후에제공 - 법령에서정한사유가있는경우에만열람 정정 삭제 처리정지거절가능 ( 제35조 ~ 제37조 ) - 퇴직 3년이후에는파기하는것이원칙 * 보관기간연장이필요한경우목적, 기간등을명시하여동의확보 안전성확보조치및정보주체권리보장등 개인정보처리위탁및개인정보의안전한보관 - 목적외처리금지, 기술적 관리적보호조치등포함, 문서로위탁 - 내부관리계획수립 시행, 암호화, 접속기록보관및위 변조방지조치, 보안프로그램의설치및갱신, 보관시설또는잠금장치설치등 - 개인정보처리방침수립및공개, 개인정보보호책임자지정 유출신고 - 개인정보유출시정보주체에게고지, 단 1만명이상에관한정보가유출시에는행정자치부또는전문기관 ( 한국인터넷진흥원 ) 에신고병행 - 57 -
< 참고 2> 인사및노무담당자필수조치사항 이것만은꼭! 1 꼭필요한정보만수집 - 근로자에게는반드시필요한정보만요구 - 법령에근거가없는경우원칙적으로주민번호와민감정보수집불가 법령에따른임금대장작성등을위해서는동의없이주민번호수집가능 고유식별정보, 민감정보는반드시필요한경우, 별도동의를받고수집 2 수집한개인정보는안전하게보관 - 직원정보가있는 pc 는비밀번호설정, 백신설치, 방화벽기능적용등 3 법령근거확인또는근로자동의를얻어서제 3 자제공 - 퇴직근로자경력의 3 자제공도동의필수 경력조회가필요한자는정보주체로부터동의를얻어서해당기관에제출 4 인사, 급여지급등을위한근로자개인정보처리위탁은 개인정보처리위탁방법에따라실시 - 개인정보처리위탁을할경우, 근로자가위탁업체처리내용등을근로자가쉽게확인할수있도록내부게시판, 인터넷홈페이지등에공개 - 업무위탁과관리감독에관한계약서를반드시마련하고관리철저 5 보유목적이사라진개인정보는지체없이파기 - 입사지원자의개인정보는채용전형종료후지체없이파기하되, 상시채용을위해보관할경우동의를받고보관 - 퇴직근로자는경력증명을위해 3년간보존 * 3년이후의경력증명서발급을위한자료보관은동의를받을것 - 58 -
< 참고 3> 개인정보보호관계법령 구분 주요내용 개인정보보호법 개인정보보호에관한일반법으로서근로자개인정보처리에관한일반원칙제시 고용보험및산업재해보상보험의보험료징수등에관한법률 고용보험과산업재해보상보험의보험관계성립 소멸, 보험료의납부 징수등의사무효율성제고를위한개인정보처리규정 고용보험법 근로자의생활안정과구직활동촉진을위한고용보험시행을위해필요한개인정보처리규정 고용상연령차별금지및고령자고용촉진에관한법률 합리적이유없이연령을이유로고용차별을금지하고, 고령자 ( 高齡者 ) 가그능력에맞는직업을가질수있도록지원하고촉진함을목적으로하는규정 고용정책기본법 고용안정, 일자리창출및인력확보를지원하고노동시장의효율성과인력수급의균형을위해고용관련정보수집 이용 국가유공자등예우및지원에관한법률 국가유공자, 그유족또는가족을합당하게예우 ( 禮遇 ) 하고지원함으로써이들의생활안정과복지향상을규정 근로기준법 근로자의기본적생활보장및균형있는국민경제의발전을위해근로조건의기준을정함 근로복지기본법 근로자삶의질향상과균형있는국민경제발전을위해근로복지정책수립및복지사업의수행에필요한사항을규정 근로자직업능력개발법 고용촉진 고용안정및생산성향상을위해근로자직업능력개발촉진 지원및기술 기능인력양성을위한사항규정 - 59 -
구분 주요내용 근로자참여및협력증진에관한법률 근로자와사용자쌍방이참여와협력을통하여노사공동의이익을증진하는데필요한기본사항을규정 산업안전보건법 산업재해를예방하고쾌적한작업환경을조성함으로써근로자의안전과보건을유지 증진하기위한내용규정 산업재해보상보험법 업무상재해보상재해근로자의사회복귀촉진등의근로자복지를위한규정 아동 청소년의성보호에관한법률 아동 청소년을성범죄로부터보호하고아동 청소년이건강한사회구성원으로성장할수있도록하기위한규정 외국인근로자의고용등에관한법률 외국인근로자에대한체계적 관리로원활한인력수급및국민경제의균형있는발전을위한사항규정 임금채권보장법 임금을지급받지못하고퇴직한근로자에게그지급을보장하는조치마련을위한규정 장애인고용촉진및직업재활법 장애인의고용촉진및직업재활도모규정 직업안정법 정부와민간부문이협력하여각산업에서필요한노동력이원활하게수급되도록지원하는규정 진폐의예방과진폐근로자의보호등에관한법률 진폐 ( 塵肺 ) 의예방과분진작업 ( 粉塵作業 ) 에종사하는근로자등의건강및복지증진을위한규정 파견근로자보호등에관한법률 파견근로자의고용안정과복지증진에이바지하고인력수급을원활하게하기위한규정 - 60 -
- 61 -
개인정보보호법 제 1 장총칙 개인정보보호법 [ 법률제 13423 호, 2015.7.24., 일부개정 ] 제 1 장총칙 개인정보보호법시행령 [ 대통령령제 26140 호, 2015.3.11., 타법개정 ] 제1조 ( 목적 ) 이법은개인정보의처리및보호에관한사항을정함으로써개인의자유와권리제1조 ( 목적 ) 이영은 개인정보보호법 에서위임된사항과를보호하고, 나아가개인의존엄과가치를구현함을목적으로한다. < 개정 2014.3.24.> 그시행에필요한사항을규정함을목적으로한다. 제2조 ( 정의 ) 이법에서사용하는용어의뜻은다음과같다. < 개정 2014.3.24.> 제2조 ( 공공기관의범위 ) 개인정보보호법 ( 이하 " 법 " 이라한 1. " 개인정보 " 란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여다 ) 제2조제6호나목에서 " 대통령령으로정하는기관 " 이란다개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정음각호의기관을말한다. 보와쉽게결합하여알아볼수있는것을포함한다 ) 를말한다. 1. 국가인권위원회법 제3조에따른국가인권위원회 2. " 처리 " 란개인정보의수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정 2. 공공기관의운영에관한법률 제4조에따른공공기관정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위를말한다. 3. 지방공기업법 에따른지방공사와지방공단 3. " 정보주체 " 란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는 4. 특별법에따라설립된특수법인사람을말한다. 5. 초ᆞ중등교육법, 고등교육법, 그밖의다른법률에 4. " 개인정보파일 " 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로따라설치된각급학교배열하거나구성한개인정보의집합물 ( 集合物 ) 을말한다. 제3조 ( 영상정보처리기기의범위 ) 법제2조제7호에서 " 대통령령 5. " 개인정보처리자 " 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른으로정하는장치 " 란다음각호의장치를말한다. 사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말한다. 1. 폐쇄회로텔레비전 : 다음각목의어느하나에해당하는장 6. " 공공기관 " 이란다음각목의기관을말한다. 치가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의행정사무를처리하는기관, 중앙행정기가. 일정한공간에지속적으로설치된카메라를통하여영상관 ( 대통령소속기관과국무총리소속기관을포함한다 ) 및그소속기관, 지방자치단등을촬영하거나촬영한영상정보를유무선폐쇄회로등체의전송로를통하여특정장소에전송하는장치나. 그밖의국가기관및공공단체중대통령령으로정하는기관나. 가목에따라촬영되거나전송된영상정보를녹화ᆞ기록 7. " 영상정보처리기기 " 란일정한공간에지속적으로설치되어사람또는사물의영상등을할수있도록하는장치촬영하거나이를유 무선망을통하여전송하는장치로서대통령령으로정하는장치를말 2. 네트워크카메라 : 일정한공간에지속적으로설치된기기로한다. 촬영한영상정보를그기기를설치ᆞ관리하는자가유무선 - 61 -
개인정보보호법개인정보보호법시행령 [ 법률제13423호, 2015.7.24., 일부개정 ] [ 대통령령제26140호, 2015.3.11., 타법개정 ] 인터넷을통하여어느곳에서나수집ᆞ저장등의처리를할제3조 ( 개인정보보호원칙 ) 1 개인정보처리자는개인정보의처리목적을명확하게하여야하고그목적에필요한범위에서최소한의개인정보만을적법하고정당하게수집하여야한다. 수있도록하는장치 2 개인정보처리자는개인정보의처리목적에필요한범위에서적합하게개인정보를처리하여야하며, 그목적외의용도로활용하여서는아니된다. 제2장개인정보보호위원회 3 개인정보처리자는개인정보의처리목적에필요한범위에서개인정보의정확성, 완전성제4조 ( 위원의제척ㆍ기피ㆍ회피 ) 1 법제7조제2항에따른개인및최신성이보장되도록하여야한다. 정보보호위원회 ( 이하 " 보호위원회 " 라한다 ) 의위원은다음각 4 개인정보처리자는개인정보의처리방법및종류등에따라정보주체의권리가침해받을호의어느하나에해당하는사항에대한심의ᆞ의결에관여하가능성과그위험정도를고려하여개인정보를안전하게관리하여야한다. 지못한다. 5 개인정보처리자는개인정보처리방침등개인정보의처리에관한사항을공개하여야하 1. 위원또는위원의배우자, 4촌이내의혈족, 2촌이내의인며, 열람청구권등정보주체의권리를보장하여야한다. 척인사람이나그사람이속한기관ᆞ단체와이해관계가있 6 개인정보처리자는정보주체의사생활침해를최소화하는방법으로개인정보를처리하여야는사항한다. 2. 위원이증언, 진술또는감정 ( 鑑定 ) 을하거나대리인으로 7 개인정보처리자는개인정보의익명처리가가능한경우에는익명에의하여처리될수있도관여한사항록하여야한다. 3. 위원이나위원이속한공공기관ᆞ법인또는단체등이조언 8 개인정보처리자는이법및관계법령에서규정하고있는책임과의무를준수하고실천함등지원을하고있는자와이해관계가있는사항으로써정보주체의신뢰를얻기위하여노력하여야한다. 2 보호위원회가심의ᆞ의결하는사항과직접적인이해관계가제4조 ( 정보주체의권리 ) 정보주체는자신의개인정보처리와관련하여다음각호의권리를가있는자는제1항에따른제척사유가있거나심의ᆞ의결의공진다. 정을기대하기어려운사유가있는위원에대해서는그사유 1. 개인정보의처리에관한정보를제공받을권리를밝혀보호위원회에그위원의기피를신청할수있다. 이 2. 개인정보의처리에관한동의여부, 동의범위등을선택하고결정할권리경우위원장이기피여부를결정한다. 3. 개인정보의처리여부를확인하고개인정보에대하여열람 ( 사본의발급을포함한다. 이하 3 위원은제1항또는제2항에해당하는경우에는스스로심같다 ) 을요구할권리의ᆞ의결을회피할수있다. 4. 개인정보의처리정지, 정정 삭제및파기를요구할권리제5조 ( 전문위원회 ) 1 보호위원회는법제8조제1항에따른심의 5. 개인정보의처리로인하여발생한피해를신속하고공정한절차에따라구제받을권리 ᆞ의결사항에대하여사전에전문적으로검토하기위하여보제5조 ( 국가등의책무 ) 1 국가와지방자치단체는개인정보의목적외수집, 오용 남용및무호위원회에분야별전문위원회 ( 이하 " 전문위원회 " 라한다 ) 를 - 62 -
개인정보보호법개인정보보호법시행령 [ 법률제13423호, 2015.7.24., 일부개정 ] [ 대통령령제26140호, 2015.3.11., 타법개정 ] 분별한감시 추적등에따른폐해를방지하여인간의존엄과개인의사생활보호를도모하둘수있다. 기위한시책을강구하여야한다. 2 제1항에따라전문위원회를두는경우각전문위원회는위 2 국가와지방자치단체는제4조에따른정보주체의권리를보호하기위하여법령의개선원장 1명을포함한 5명이내의위원으로구성하되, 전문위원등필요한시책을마련하여야한다. 회위원은다음각호의사람중에서보호위원회의동의를받 3 국가와지방자치단체는개인정보의처리에관한불합리한사회적관행을개선하기위하여아보호위원회위원장이임명하거나위촉하고, 전문위원회위개인정보처리자의자율적인개인정보보호활동을존중하고촉진 지원하여야한다. 원장은보호위원회위원장이전문위원회위원중에서지명한 4 국가와지방자치단체는개인정보의처리에관한법령또는조례를제정하거나개정하는다. 경우에는이법의목적에부합되도록하여야한다. 1. 보호위원회위원 2. 개인정보보호관련업무를담당하는중앙행정기관의관계제6조 ( 다른법률과의관계 ) 개인정보보호에관하여는다른법률에특별한규정이있는경우를공무원제외하고는이법에서정하는바에따른다. < 개정 2014.3.24.> 3. 개인정보보호에관한전문지식과경험이풍부한사람 4. 개인정보보호와관련된단체또는사업자단체에속하거나제2장개인정보보호정책의수립등그단체의추천을받은사람제7조 ( 개인정보보호위원회 ) 1 개인정보보호에관한사항을심의 의결하기위하여대통령 3 전문위원회의회의는재적위원과반수의출석으로개의 ( 開소속으로개인정보보호위원회 ( 이하 " 보호위원회 " 라한다 ) 를둔다. 보호위원회는그권한에議 ) 하고, 출석위원과반수의찬성으로의결한다. 속하는업무를독립하여수행한다. 제6조 ( 의사의공개 ) 보호위원회의의사 ( 議事 ) 는공개한다. 다만, 2 보호위원회는위원장 1명, 상임위원 1명을포함한 15명이내의위원으로구성하되, 상임보호위원회위원장이필요하다고인정하는경우에는공개하지위원은정무직공무원으로임명한다. 아니할수있다. 3 위원장은위원중에서공무원이아닌사람으로대통령이위촉한다. 4 위원은다음각호의어느하나에해당하는사람을대통령이임명하거나위촉한다. 이경제7조 ( 공무원등의파견 ) 보호위원회는그업무수행을위하여필요하다고인정하는경우에는공공기관에그소속공무원또우위원중 5명은국회가선출하는자를, 5명은대법원장이지명하는자를각각임명하거나는임직원의파견을요청할수있다. 위촉한다. 1. 개인정보보호와관련된시민사회단체또는소비자단체로부터추천을받은사람제8조 ( 조직및정원등 ) 이영에서규정한사항외에보호위원 2. 개인정보처리자로구성된사업자단체로부터추천을받은사람회의조직및정원등에관하여필요한사항은따로대통령령 3. 그밖에개인정보에관한학식과경험이풍부한사람으로정한다. 5 위원장과위원의임기는 3년으로하되, 1차에한하여연임할수있다. 제9조 ( 출석수당등 ) 보호위원회또는전문위원회의회의에출석 - 63 -
개인정보보호법 [ 법률제13423호, 2015.7.24., 일부개정 ] 개인정보보호법시행령 [ 대통령령제26140호, 2015.3.11., 타법개정 ] 6 보호위원회의회의는위원장이필요하다고인정하거나재적위원 4분의 1 이상의요구가있는경우에위원장이소집한다. 7 보호위원회는재적위원과반수의출석과출석위원과반수의찬성으로의결한다. 8 보호위원회의사무를지원하기위하여보호위원회에사무국을둔다. 9 제1항부터제8항까지에서규정한사항외에보호위원회의조직과운영에필요한사항은 한위원, 법제8조제2항에따라보호위원회에출석한사람및전문위원회에출석한사람에게는예산의범위에서수당ᆞ여비, 그밖에필요한경비를지급할수있다. 다만, 공무원이그소관업무와직접관련되어출석하는경우에는그러하지아니하다. 대통령령으로정한다. 제10조 ( 보호위원회등의운영세칙 ) 법과이영에서규정한사 제8조 ( 보호위원회의기능등 ) 1 보호위원회는다음각호의사항을심의ᆞ의결한다. < 개정 2015.7.24.> 1. 제8조의2에따른개인정보침해요인평가에관한사항 항외에보호위원회및전문위원회의구성및운영등에필요한사항은보호위원회의의결을거쳐보호위원회의규칙으로정한다. 1의2. 제9조에따른기본계획및제10조에따른시행계획 2. 개인정보보호와관련된정책, 제도및법령의개선에관한사항 3. 개인정보의처리에관한공공기관간의의견조정에관한사항 4. 개인정보보호에관한법령의해석ᆞ운용에관한사항 5. 제18조제2항제5호에따른개인정보의이용ᆞ제공에관한사항 6. 제33조제3항에따른영향평가결과에관한사항 제3장기본계획및시행계획의수립절차제11조 ( 기본계획의수립절차등 ) 1 행정자치부장관은 3년마다법제9조에따른개인정보보호기본계획 ( 이하 " 기본계획 " 이라한다 ) 을작성하여그 3년이시작되는해의전전년도 12월 31 7. 제61조제1항에따른의견제시에관한사항 일까지 보호위원회의 심의ᆞ의결을 거쳐야 한다. < 개정 8. 제64조제4항에따른조치의권고에관한사항 9. 제66조에따른처리결과의공표에관한사항 10. 제67조제1항에따른연차보고서의작성ᆞ제출에관한사항 11. 개인정보보호와관련하여대통령, 보호위원회의위원장또는위원 2명이상이회의에부치는사항 2013.3.23., 2014.11.19.> 2 행정자치부장관은제1항에따라기본계획을작성하는경우에는미리관계중앙행정기관의장으로부터부문별계획을제출받아기본계획에반영할수있다. 이경우행정자치부장관은부문별계획의작성방법등에관한지침을마련하여관계중 12. 그밖에이법또는다른법령에따라보호위원회가심의ᆞ의결하는사항 앙행정기관의장에게통보할수있다. < 개정 2013.3.23., 2014.11.19.> 2 보호위원회는제1항각호의사항을심의ᆞ의결하기위하여필요한경우다음각호의 3 행정자치부장관은기본계획이확정되면지체없이관계중조치를할수있다. < 개정 2015.7.24.> 앙행정기관의장에게통보하여야한다. < 개정 2013.3.23., 1. 관계공무원, 개인정보보호에관한전문지식이있는사람이나시민사회단체및관련사 2014.11.19.> 업자로부터의의견청취 - 64 -
개인정보보호법개인정보보호법시행령 [ 법률제13423호, 2015.7.24., 일부개정 ] [ 대통령령제26140호, 2015.3.11., 타법개정 ] 2. 관계기관등에대한자료제출이나사실조회요구제12조 ( 시행계획의수립절차등 ) 1 행정자치부장관은매년 12 3 제2항제2호에따른요구를받은관계기관등은특별한사정이없으면이에응하여야한월 31일까지다음다음해시행계획의작성방법등에관한지다. < 신설 2015.7.24.> 침을마련하여관계중앙행정기관의장에게통보하여야한다. 4 보호위원회는제1항제2호의사항을심의ᆞ의결한경우에는관계기관에그개선을권고 < 개정 2013.3.23., 2014.11.19.> 할수있다. < 신설 2015.7.24.> 2 관계중앙행정기관의장은제1항의지침에따라기본계획 5 보호위원회는제4항에따른권고내용의이행여부를점검할수있다. < 신설 2015.7.24.> 중다음해에시행할소관분야의시행계획을작성하여매년 2월말일까지보호위원회에제출하여야한다. [ 시행일 : 2016.7.25.] 제8조제1항 3 보호위원회는제2항에따라제출된시행계획을그해 4월제8조의2( 개인정보침해요인평가 ) 1 중앙행정기관의장은소관법령의제정또는개정을통 30일까지심의ᆞ의결하여야한다. 하여개인정보처리를수반하는정책이나제도를도입ᆞ변경하는경우에는보호위원회에개제13조 ( 자료제출요구등의범위와방법 ) 1 행정자치부장관은인정보침해요인평가를요청하여야한다. 법제11조제1항에따라개인정보처리자에게다음각호의사 2 보호위원회가제1항에따른요청을받은때에는해당법령의개인정보침해요인을분석항에관한자료의제출이나의견의진술등을요구할수있다. ᆞ검토하여그법령의소관기관의장에게그개선을위하여필요한사항을권고할수있다. < 개정 2013.3.23., 2014.11.19.> 3 제1항에따른개인정보침해요인평가의절차와방법에관하여필요한사항은대통령령 1. 해당개인정보처리자가처리하는개인정보및개인정보파일으로정한다. 의관리와영상정보처리기기의설치ᆞ운영에관한사항 [ 본조신설 2015.7.24.] 2. 법제31조에따른개인정보보호책임자의지정여부에관한사항 [ 시행일 : 2016.7.25.] 제8조의2 3. 개인정보의안전성확보를위한기술적ᆞ관리적ᆞ물리적조치에관한사항제9조 ( 기본계획 ) 1 보호위원회는개인정보의보호와정보주체의권익보장을위하여 3년마다 4. 정보주체의열람, 개인정보의정정ᆞ삭제ᆞ처리정지의요구개인정보보호기본계획 ( 이하 " 기본계획 " 이라한다 ) 을관계중앙행정기관의장과협의하여및조치현황에관한사항수립한다. < 개정 2013.3.23., 2014.11.19., 2015.7.24.> 5. 그밖에법및이영의준수에관한사항등기본계획의수 2 기본계획에는다음각호의사항이포함되어야한다. 립ᆞ추진을위하여필요한사항 1. 개인정보보호의기본목표와추진방향 2 행정자치부장관은제1항에따라자료의제출이나의견의 2. 개인정보보호와관련된제도및법령의개선진술등을요구할때에는기본계획을효율적으로수립ᆞ추진 3. 개인정보침해방지를위한대책 - 65 -
개인정보보호법 [ 법률제13423호, 2015.7.24., 일부개정 ] 개인정보보호법시행령 [ 대통령령제26140호, 2015.3.11., 타법개정 ] 4. 개인정보보호자율규제의활성화 5. 개인정보보호교육ᆞ홍보의활성화 6. 개인정보보호를위한전문인력의양성 7. 그밖에개인정보보호를위하여필요한사항 3 국회, 법원, 헌법재판소, 중앙선거관리위원회는해당기관 ( 그소속기관을포함한다 ) 의개인정보보호를위한기본계획을수립ᆞ시행할수있다. 하기위하여필요한최소한의범위로한정하여요구하여야한다. < 개정 2013.3.23., 2014.11.19.> 3 법제11조제2항에따라중앙행정기관의장이소관분야의개인정보처리자에게자료의제출등을요구하는경우에는제1 항과제2항을준용한다. 이경우 " 행정자치부장관 " 은 " 중앙행정기관의장 " 으로, " 법제11조제1항 " 은 " 법제11조제2항 " 으로 본다. < 개정 2013.3.23., 2014.11.19.> [ 시행일 : 2016.7.25.] 제9조제10조 ( 시행계획 ) 1 중앙행정기관의장은기본계획에따라매년개인정보보호를위한시행계획을작성하여보호위원회에제출하고, 보호위원회의심의 의결을거쳐시행하여야한다. 제14조 ( 자율규제의촉진및지원 ) 행정자치부장관은법제13조제2호에따라개인정보처리자의자율적인개인정보보호활동을촉진하기위하여예산의범위에서개인정보보호와관련된 2 시행계획의수립 시행에필요한사항은대통령령으로정한다. 기관 또는 단체에 필요한 지원을 할 수 있다. < 개정 2013.3.23., 2014.11.19.> 제11조 ( 자료제출요구등 ) 1 보호위원회는기본계획을효율적으로수립하기위하여개인정보 처리자, 관계중앙행정기관의장, 지방자치단체의장및관계기관ᆞ단체등에개인정보처리 제4장개인정보의처리 자의법규준수현황과개인정보관리실태등에관한자료의제출이나의견의진술등을요제15조 ( 개인정보의목적외이용또는제3자제공의관리 ) 공공구할수있다. < 개정 2013.3.23., 2014.11.19., 2015.7.24.> 기관은법제18조제2항각호에따라개인정보를목적외의 2 행정자치부장관은개인정보보호정책추진, 성과평가등을위하여필요한경우개인정보용도로이용하거나이를제3자에게제공하는경우에는다음처리자, 관계중앙행정기관의장, 지방자치단체의장및관계기관ᆞ단체등을대상으로개각호의사항을행정자치부령으로정하는개인정보의목적외인정보관리수준및실태파악등을위한조사를실시할수있다. < 신설 2015.7.24.> 이용및제3자제공대장에기록하고관리하여야한다. < 개정 3 중앙행정기관의장은시행계획을효율적으로수립ᆞ추진하기위하여소관분야의개인정 2013.3.23., 2014.11.19.> 보처리자에게제1항에따른자료제출등을요구할수있다. < 개정 2015.7.24.> 4 제1항부터제3항까지에따른자료제출등을요구받은자는특별한사정이없으면이에따라야한다. < 개정 2015.7.24.> 5 제1항부터제3항까지에따른자료제출등의범위와방법등필요한사항은대통령령으로정한다. < 개정 2015.7.24.> 1. 이용하거나제공하는개인정보또는개인정보파일의명칭 2. 이용기관또는제공받는기관의명칭 3. 이용목적또는제공받는목적 4. 이용또는제공의법적근거 5. 이용하거나제공하는개인정보의항목 - 66 -
개인정보보호법 [ 법률제13423호, 2015.7.24., 일부개정 ] 개인정보보호법시행령 [ 대통령령제26140호, 2015.3.11., 타법개정 ] 6. 이용또는제공의날짜, 주기또는기간 [ 시행일 : 2016.7.25.] 제11조제1항제12조 ( 개인정보보호지침 ) 1 행정자치부장관은개인정보의처리에관한기준, 개인정보침해의유형및예방조치등에관한표준개인정보보호지침 ( 이하 " 표준지침 " 이라한다 ) 을정하여개인정보처리자에게그준수를권장할수있다. < 개정 2013.3.23., 2014.11.19.> 2 중앙행정기관의장은표준지침에따라소관분야의개인정보처리와관련한개인정보보호지침을정하여개인정보처리자에게그준수를권장할수있다. 7. 이용하거나제공하는형태 8. 법제18조제5항에따라제한을하거나필요한조치를마련할것을요청한경우에는그내용제16조 ( 개인정보의파기방법 ) 1개인정보처리자는법제21조에따라개인정보를파기할때에는다음각호의구분에따른방법으로하여야한다. < 개정 2014.8.6.> 3 국회, 법원, 헌법재판소및중앙선거관리위원회는해당기관 ( 그소속기관을포함한다 ) 의개인정보보호지침을정하여시행할수있다. 제13조 ( 자율규제의촉진및지원 ) 행정자치부장관은개인정보처리자의자율적인개인정보보호활동을촉진하고지원하기위하여다음각호의필요한시책을마련하여야한다. < 개정 2013.3.23., 2014.11.19.> 1. 전자적파일형태인경우 : 복원이불가능한방법으로영구삭제 2. 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 파쇄또는소각 2 제1항에따른개인정보의안전한파기에관한세부사항은 1. 개인정보보호에관한교육 홍보 행정자치부장관이 정하여 고시한다. < 신설 2014.8.6., 2. 개인정보보호와관련된기관 단체의육성및지원 2014.11.19.> 3. 개인정보보호인증마크의도입 시행지원 4. 개인정보처리자의자율적인규약의제정 시행지원 5. 그밖에개인정보처리자의자율적개인정보보호활동을지원하기위하여필요한사항제14조 ( 국제협력 ) 1 정부는국제적환경에서의개인정보보호수준을향상시키기위하여필요한시책을마련하여야한다. 2 정부는개인정보국외이전으로인하여정보주체의권리가침해되지아니하도록관련시책을마련하여야한다. 제17조 ( 동의를받는방법 ) 1 개인정보처리자는법제22조에따라개인정보의처리에대하여다음각호의어느하나에해당하는방법으로정보주체의동의를받아야한다. 1. 동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법 2. 전화를통하여동의내용을정보주체에게알리고동의의의 사표시를확인하는방법 3. 전화를통하여동의내용을정보주체에게알리고정보주체 에게인터넷주소등을통하여동의사항을확인하도록한 후다시전화를통하여그동의사항에대한동의의의사표 - 67 -
개인정보보호법개인정보보호법시행령 [ 법률제13423호, 2015.7.24., 일부개정 ] [ 대통령령제26140호, 2015.3.11., 타법개정 ] 시를확인하는방법제3장개인정보의처리 4. 인터넷홈페이지등에동의내용을게재하고정보주체가동제1절개인정보의수집, 이용, 제공등의여부를표시하도록하는방법제15조 ( 개인정보의수집 이용 ) 1 개인정보처리자는다음각호의어느하나에해당하는경 5. 동의내용이적힌전자우편을발송하여정보주체로부터동우에는개인정보를수집할수있으며그수집목적의범위에서이용할수있다. 의의의사표시가적힌전자우편을받는방법 1. 정보주체의동의를받은경우 6. 그밖에제1호부터제5호까지의규정에따른방법에준하 2. 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우는방법으로동의내용을알리고동의의의사표시를확인하 3. 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우는방법 4. 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 2 개인정보처리자는법제22조제5항에따라만제14세미만 5. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로아동의법정대리인의동의를받기위하여해당아동으로부터사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 직접법정대리인의성명ᆞ연락처에관한정보를수집할수있재산의이익을위하여필요하다고인정되는경우다. 6. 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의 3 중앙행정기관의장은제1항에따른동의방법중소관분야권리보다우선하는경우. 이경우개인정보처리자의정당한이익과상당한관련이있고의개인정보처리자별업무, 업종의특성및정보주체의수등합리적인범위를초과하지아니하는경우에한한다. 을고려하여적절한동의방법에관한기준을법제12조제2항 2 개인정보처리자는제1항제1호에따른동의를받을때에는다음각호의사항을정보주체에따른개인정보보호지침 ( 이하 " 개인정보보호지침 " 이라한에게알려야한다. 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를다 ) 으로정하여그기준에따라동의를받도록개인정보처리받아야한다. 자에게권장할수있다. 1. 개인정보의수집 이용목적제18조 ( 민감정보의범위 ) 법제23조각호외의부분본문에서 2. 수집하려는개인정보의항목 " 대통령령으로정하는정보 " 란다음각호의어느하나에해당 3. 개인정보의보유및이용기간하는정보를말한다. 다만, 공공기관이법제18조제2항제5호 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이부터제9호까지의규정에따라다음각호의어느하나에해익의내용당하는정보를처리하는경우의해당정보는제외한다. 제16조 ( 개인정보의수집제한 ) 1 개인정보처리자는제15조제1항각호의어느하나에해당하 1. 유전자검사등의결과로얻어진유전정보여개인정보를수집하는경우에는그목적에필요한최소한의개인정보를수집하여야한다. 2. 형의실효등에관한법률 제2조제5호에따른범죄경이경우최소한의개인정보수집이라는입증책임은개인정보처리자가부담한다. 력자료에해당하는정보 - 68 -